登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202112/1519602_30003_0.htm

OpenSSL拒绝服务漏洞安全通告(CVE-2021-3449)

【发布时间:2021-12-30】

威胁预警团队

2021/03/26


1. 漏洞综述

1.1 漏洞背景

OpenSSL是一个开放源代码的安全套接字层密码库包,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页及应用服务器上。2021年3月26日,新华三攻防实验室威胁预警团队监测到OpenSSL官方发布安全更新公告,其中包含一个拒绝服务漏洞的修复(CVE-2021-3449)。新华三攻防实验室建议用户更新OpenSSL到最新的安全版本避免遭受攻击利用。

1.2漏洞描述

2021年3月25日OpenSSL官方发布了安全更新公告,其中修复了CVE-2021-3449 OpenSSL拒绝服务漏洞,OpenSSL TLS服务器在启用了TLSv1.2和重新协商功能(默认配置开启)的情况下才易受攻击。该漏洞源于TLSv1.2重新协商ClientHello忽略了signature_algorithms扩展(它出现在初始ClientHello中),但包含signature_algorithms_cert扩展,则将导致空指针解引用,从而导致崩溃和拒绝服务攻击。远程攻击者从客户端发送恶意构建的重新协商ClientHello消息,成功利用该漏洞可能导致OpenSSL TLS服务器会崩溃。

2. 影响范围

OpenSSL 1.1.1 - 1.1.1j

3. 严重等级

高危

4. 处置方法

4.1 官方补丁

OpenSSL官方已经在新版本中修复该漏洞,请升级至OpenSSL的安全版本:

OpenSSL 1.1.1k

下载链接:

https://github.com/openssl/openssl/releases/tag/OpenSSL_1_1_1k

5. 参考链接

https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2021-3449

新华三官网
联系我们