OpenSSL的 项目发布了 安全咨询 8年2020月1.0.2日,警告用户一个严重级别高的漏洞,该漏洞会影响该版本之前的所有版本的OpenSSL 1.1.1和XNUMX 1.1.1i. 攻击者可能在拒绝服务(DoS)攻击中利用此漏洞:
X.509 GeneralName类型是一种通用类型,用于表示不同类型的名称。 这些名称类型之一称为EDIPartyName。 OpenSSL提供了一个GENERAL_NAME_cmp函数,该函数比较GENERAL_NAME的不同实例以查看它们是否相等。 当两个GENERAL_NAME都包含一个EDIPARTYNAME时,此函数的行为不正确。 NULL指针取消引用和崩溃可能会导致可能的拒绝服务攻击。
OpenSSL使用 GENERAL_NAME_cmp 验证CRL分发点和时间戳颁发机构名称时的功能。 根据OpenSSL的 advisory“如果攻击者可以控制两个项目进行比较,那么该攻击者可能会导致崩溃。 例如,如果攻击者可以诱使客户端或服务器针对恶意CRL检查恶意证书,则可能会发生这种情况。”
漏洞最初是由Google的David Benjamin于9年2020月XNUMX日报告给OpenSSL的。 该修复程序由OpenSSL的Matt Caswell开发,并部署在 OpenSSL 1.1.1i 上月8,2020。
OpenSSL用户根据其OpenSSL版本和支持级别,可以采用两种方式来应用此修复程序:
- OpenSSL 1.1.1的用户和不受支持的1.0.2用户应升级到1.1.1i。
- OpenSSL 1.0.2的高级支持客户应升级到1.0.2x。
目前,大多数HTTPS Web服务器上都已安装OpenSSL。 例如,Apache的 mod_ssl 模块使用OpenSSL库提供SSL /TLS 支持。
SSL.com敦促OpenSSL的所有用户尽快更新其安装。 美国网络安全与基础设施安全局(CISA)也 鼓励 “用户和管理员查看 OpenSSL安全咨询 并应用必要的更新。”
感谢您选择SSL.com! 如有任何疑问,请通过电子邮件与我们联系 Support@SSL.com,致电 1-877-SSL-SECURE,或只需单击此页面右下方的聊天链接。 您还可以在我们的网站上找到许多常见支持问题的答案 知识库.
