0x01 漏洞背景
2020年04月21日, 360CERT監測發現 openssl 官方釋出了 TLS 1.3 元件拒絕服務漏洞 的風險通告,該漏洞編号為 CVE-2020-1967,漏洞等級:高危。
openssl 是一個開放源代碼的軟體庫包,應用程式可以使用這個包來進行安全通信。這個包廣泛被應用在網際網路的網頁伺服器上。其主要庫是以C語言所寫成,實作了基本的加密功能,實作了SSL與TLS協定。openssl可以運作在OpenVMS、 Microsoft Windows以及絕大多數類Unix作業系統上(包括Solaris,Linux,MacOS與各種版本的開放源代碼BSD作業系統)。
TLS(Transport Layer Security) 是一種安全協定,目的是為網際網路通信提供安全及資料完整性保障。在浏覽器、電子郵件、即時通信、VoIP、網絡傳真等應用程式中都廣泛支援這個協定。該協定目前已成為網際網路上保密通信的工業标準。
openssl 存在 拒絕服務漏洞,攻擊者 通過 發送特制的請求包,可以造成 目标主機服務崩潰或拒絕服務
對此,360CERT建議廣大使用者及時安裝最新更新檔,做好資産自查以及預防工作,以免遭受黑客攻擊。
0x02 風險等級
360CERT對該漏洞的評定結果如下
0x03 漏洞詳情
官方描述
服務端或用戶端程式在 SSL_check_chain() 函數處理TLS 1.3握手前後。可能會觸發空指針解引用,導緻錯誤處理 tls 擴充 signature_algorithms_cert。當服務端或用戶端程式收到一個無效或無法識别的簽名算法時可能會引發崩潰或拒絕服務漏洞。
0x04 影響版本
- openssl:1.1.1d
- openssl:1.1.1e
- openssl:1.1.1f
0x05 修複建議
通用修補建議:
更新到 1.1.1d 版本,下載下傳位址為:https://www.openssl.org/source/。
1.0.2及之前版本的使用者不受該漏洞影響,但此類版本已經失去支援,建議使用者更新到 1.1.1d
0x06 相關空間測繪資料
360安全大腦-Quake網絡空間測繪系統通過對全網資産測繪,發現 openssl 在全球均有廣泛使用,具體分布如下圖所示。
0x07 産品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資産測繪平台通過資産測繪技術手段,對該類 漏洞 進行監測,請使用者聯系相關産品區域負責人擷取對應産品。
0x08 時間線
2020-04-21 openssl官方釋出安全通告
2020-04-22 360CERT釋出預警