漏洞名稱
openssl 拒絕服務漏洞
漏洞編号
CVE-2020-1967
漏洞等級
高
漏洞描述
2020年04月21日,openssl 官方釋出了 TLS 1.3 元件拒絕服務漏洞 的風險通告。 openssl 是一個開放源代碼的軟體庫包,應用程式可以使用這個包來進行安全通信。這個包廣泛被應用在網際網路的網頁伺服器上。其主要庫是以C語言所寫成,實作了基本的加密功能,實作了SSL與TLS協定。openssl可以運作在OpenVMS、 Microsoft Windows以及絕大多數類Unix作業系統上(包括Solaris,Linux,MacOS與各種版本的開放源代碼BSD作業系統)。 TLS(Transport Layer Security) 是一種安全協定,目的是為網際網路通信提供安全及資料完整性保障。在浏覽器、電子郵件、即時通信、VoIP、網絡傳真等應用程式中都廣泛支援這個協定。該協定目前已成為網際網路上保密通信的工業标準。 服務端或用戶端程式在 SSL_check_chain() 函數處理TLS 1.3握手前後。可能會觸發空指針解引用,導緻錯誤處理 tls 擴充 signature_algorithms_cert。當服務端或用戶端程式收到一個無效或無法識别的簽名算法時可能會引發崩潰或拒絕服務漏洞。
影響範圍
-
openssl:1.1.1d
- openssl:1.1.1e
- openssl:1.1.1f
修複措施
更新到 1.1.1d 版本,下載下傳位址為:https://www.openssl.org/source/。
情報來源
https://cert.360.cn/warning/detail?id=83b4133611aba0131a5e18fb2ea46aba