2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp拒绝服务漏洞。
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。
1
漏洞详情
2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp拒绝服务漏洞。当两个GENERAL_NAME都包含同一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,从而导致空指针引用,并可能导致拒绝服务。
腾讯安全专家建议受影响的OpenSSL用户尽快采取安全措施阻止漏洞攻击。
2漏洞编号
CVE-2020-1971
3
漏洞等级
高风险
4
受影响的版本
OpenSSL 1.1.1 ~ 1.1.1h
OpenSSL 1.0.2 ~ 1.0.2w
5
安全版本
OpenSSL 1.1.1i
OpenSSL 1.0.2x
6
腾讯安全网络空间测绘
腾讯安全网络空间测绘结果显示,OpenSSL全球应用极其广泛,已成为互联网重要的安全基础设施。在应用地理分布上,美国、日本、中国、德国及中国香港位居前5。浙江、广东、北京、上海、四川位居国内前5。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 [email protected] 了解产品详情。
7
漏洞修复建议
目前受到支持的OpenSSL 版本有1.1.1和1.0.2,建议所有用户升级到最新版本。
下载链接:
https://www.openssl.org/source/
8
腾讯安全解决方案
腾讯T-Sec主机安全(云镜)漏洞库日期2020-12-9之后的版本,已支持对OpenSSL 拒绝服务漏洞(CVE-2020-1971)进行检测。
参考链接:
https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971
https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971
插播一条招聘广告(长期)
腾讯安全研究团队急招安全渗透高级岗位,要求精通Linux底层机制,熟悉seccomp、AppAmor, ebpf、perf;熟悉K8S、Docker、Kata、gVisor技术及其原理,根据研究成果,输出相关原型设计或PoC,提升产品能力。有意请投简历到[email protected],诚邀加盟!
更多岗位信息,请点击这里查阅!
本文始发于微信公众号(腾讯安全威胁情报中心):OpenSSL 拒绝服务漏洞(CVE-2020-1971)风险通告,腾讯主机安全(云镜)支持检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论