概述
-
CVE-2021-3449:由于NULL指针取消引用而导致的拒绝服务(DoS)漏洞,只影响OpenSSL服务器,而不影响客户端。
-
CVE-2012-3450:OpenSSL CA证书验证绕过漏洞,同时影响服务器和客户端。
漏洞详情
CVE-2021-3449
如果在重新协商的过程中,客户端发送了一个恶意的ClientHello消息,则可能触发OpenSSL TLS服务器的DoS漏洞,造成服务器崩溃。如果TLSv1.2重新协商的ClientHello省略了signature_algorithms扩展名(在最初的ClientHello中存在),但包括了signature_algorithms_cert扩展名,将导致NULL指针取消引用,从而导致崩溃和拒绝服务攻击。
该漏洞影响运行带有TLS 1.2并启用了重新协商(默认配置)的OpenSSL 1.1.1。由于这些配置是默认的,因此许多活跃的服务器都可能受到影响。幸运的是,该漏洞的修复程序并不复杂,只需要将peer_sigalgslen设置为0即可,如下图所示:
CVE-2012-3450
相比之下,该漏洞的利用过程稍微复杂一些,但其最终可能比DoS攻击更具破坏性,因为它可以绕过安全检查。
CVE-2021-3450漏洞涉及OpenSSL客户端程序可以开启的特殊设置X509_V_FLAG_X509_STRICT,该设置可对证书链中存在的证书进行其它安全检查,在默认情况下未启用。从OpenSSL版本1.1.1h开始,添加了一项检查以禁止在链中显式编码椭圆曲线参数的证书,这是附加的严格检查。然而,执行此检查时出现一个错误,导致先前确认链中的证书是有效的CA证书的检查结果将被覆盖。
该漏洞影响OpenSSL 1.1.1h及更高版本。
缓解措施
目前官方已修复了这两个漏洞,建议受影响的用户及时更新至OpenSSL 1.1.1k,以防止漏洞被利用造成额外的损失,OpenSSL 1.0.2不受这两个漏洞影响。
参考链接
https://www.openssl.org/news/secadv/20210325.txt
END
本文始发于微信公众号(SecTr安全团队):【漏洞预警】OpenSSL修复了两个高危漏洞(CVE-2021-3449/3450)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论