最近,openssl正式釋出了TLS 1.3元件拒絕服務漏洞的風險通知,漏洞編号為CVE-2020-1967,且漏洞級别為高風險。
OpenSSL是用于應用程式的軟體庫,可保護計算機網絡上的通信免遭竊聽或需要識别另一方的身份。它被Internet伺服器廣泛使用,包括大多數HTTPS網站。
TLS(傳輸層安全性)是一種安全協定,其目的是為Internet通信提供安全性和資料完整性保證。該協定在浏覽器,電子郵件,即時消息,VoIP和Internet傳真等應用程式中得到廣泛支援。該協定現已成為Internet上安全通信的行業标準。
openssl中存在一個拒絕服務漏洞。攻擊者可以發送特制的請求資料包,以使目标主機服務崩潰或拒絕服務。
漏洞詳情“在TLS 1.3握手期間或之後調用SSL_check_chain()函數的伺服器或用戶端應用程式可能會由于對NULL指針的取消引用而導緻崩潰,這是由于對'signature_algorithms_cert'TLS擴充的不正确處理導緻的,”閱讀OpenSSL項目釋出的建議。
“如果從對等方收到無效或無法識别的簽名算法,則會發生崩潰。惡意對等方可以在拒絕服務攻擊中利用此漏洞。”
受影響的版本- openssl:1.1.1d
- openssl:1.1.1e
- openssl:1.1.1f
更新到1.1.1g版本
【内容來源:Linux公社】