• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202112/1519603_30003_0.htm

OpenSSL多个漏洞安全通告(CVE-2021-3711&CVE-2021-3712)

【发布时间:2021-12-30】

新华三攻防实验室

2021/08/26


1. 漏洞综述

1.1 漏洞背景

OpenSSL是一个开放源代码的安全套接字层密码库包,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页及应用服务器上。近日,新华三攻防实验室威胁预警团队监测到OpenSSL官方发布安全更新公告,其中包含一个高危漏洞(CVE-2021-3711)和一个中危漏洞 (CVE-2021-3712)。新华三攻防实验室建议用户更新OpenSSL到最新的安全版本避免遭受攻击利用。

1.2 漏洞描述

1、OpenSSL缓冲区溢出漏洞 (CVE-2021-3711)

OpenSSL 在调用API接口函数EVP_PKEY_decrypt对SM2加密内容进行解密,通常应用程序会调用两次该功能,在此过程中存在错误计算缓冲区大小的漏洞;恶意攻击者可利用该漏洞构造恶意数据造成缓存区溢出,最终可能造成远程代码执行或者程序崩溃。

严重级别:高

2、OpenSSL 缓冲区溢出漏洞(CVE-2021-3712)

OpenSSL在使用ASN1_STRING来创建存储ASN.1字符串时未严格遵守存储ASN.1字符串时需使用零字节结尾的要求,导致OpenSSL在解析ASN.1字符串时未启动终止ASN1_STRING结构中的字节数组的作用,从而引起OpenSSL读取缓冲区溢出漏洞。该漏洞可被攻击者利用来构造恶意数据执行信息泄露和导致程序崩溃的风险。

严重级别:中危

2. 影响范围

漏洞名称

漏洞编码

严重级别

OpenSSL影响版本

OpenSSL缓存区溢出漏洞

CVE-2021-3711

高危

1.1.1<=OpenSSL<=1.1.1k

OpenSSL缓存区溢出漏洞

CVE-2021-3712

中危

1.1.1<=OpenSSL<=1.1.1k

1.0.2<=OpenSSL<=1.0.2y

3. 处置方法

3.1 官方补丁

查看系统版本是否在受影响版本内命令:openssl version

OpenSSL官方已经在新版本中修复该漏洞,请升级至OpenSSL的安全版本:

下载链接:

https://www.openssl.org/source

4. 参考链接

https://www.openssl.org/news/vulnerabilities.html

https://www.openssl.org/news/secadv/20210824.txt

新华三官网
联系我们