【漏洞预警】OpenSSL修复了两个高危漏洞(CVE-2021-3449/3450)

  • A+
所属分类:安全漏洞
【漏洞预警】OpenSSL修复了两个高危漏洞(CVE-2021-3449/3450)点击上方蓝字关注我们


【漏洞预警】OpenSSL修复了两个高危漏洞(CVE-2021-3449/3450)


概述


OpenSSL是目前最流行的开放源代码加密库之一,许多知名产品都依赖它,尤其是Linux,因为Linux没有自己的标准内置加密工具包。即使Windows和macOS的发行版中都内置了加密工具包,也可能有一些应用程序安装的是OpenSSL而不是操作系统的标准密码库。

近期,OpenSSL发布了最新的补丁程序以修复以下两个高危漏洞


  • CVE-2021-3449:由于NULL指针取消引用而导致的拒绝服务(DoS)漏洞,只影响OpenSSL服务器,而不影响客户端。

  • CVE-2012-3450:OpenSSL CA证书验证绕过漏洞,同时影响服务器和客户端。


漏洞详情


CVE-2021-3449


如果在重新协商的过程中,客户端发送了一个恶意的ClientHello消息,则可能触发OpenSSL TLS服务器的DoS漏洞,造成服务器崩溃。如果TLSv1.2重新协商的ClientHello省略了signature_algorithms扩展名(在最初的ClientHello中存在),但包括了signature_algorithms_cert扩展名,将导致NULL指针取消引用,从而导致崩溃和拒绝服务攻击。


该漏洞影响运行带有TLS 1.2并启用了重新协商(默认配置)的OpenSSL 1.1.1。由于这些配置是默认的,因此许多活跃的服务器都可能受到影响。幸运的是,该漏洞的修复程序并不复杂,只需要将peer_sigalgslen设置为0即可,如下图所示:


【漏洞预警】OpenSSL修复了两个高危漏洞(CVE-2021-3449/3450)

CVE-2012-3450


相比之下,该漏洞的利用过程稍微复杂一些,但其最终可能比DoS攻击更具破坏性,因为它可以绕过安全检查。


CVE-2021-3450漏洞涉及OpenSSL客户端程序可以开启的特殊设置X509_V_­FLAG_­X509_STRICT,该设置可对证书链中存在的证书进行其它安全检查,在默认情况下未启用。从OpenSSL版本1.1.1h开始,添加了一项检查以禁止在链中显式编码椭圆曲线参数的证书,这是附加的严格检查。然而,执行此检查时出现一个错误,导致先前确认链中的证书是有效的CA证书的检查结果将被覆盖。


该漏洞影响OpenSSL 1.1.1h及更高版本。


缓解措施


目前官方已修复了这两个漏洞,建议受影响的用户及时更新至OpenSSL 1.1.1k,以防止漏洞被利用造成额外的损失,OpenSSL 1.0.2不受这两个漏洞影响。


参考链接


https://www.openssl.org/news/secadv/20210325.txt


【漏洞预警】OpenSSL修复了两个高危漏洞(CVE-2021-3449/3450)

END



【漏洞预警】OpenSSL修复了两个高危漏洞(CVE-2021-3449/3450)


好文!必须在看

本文始发于微信公众号(SecTr安全团队):【漏洞预警】OpenSSL修复了两个高危漏洞(CVE-2021-3449/3450)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: