漏洞名称 :OpenSSL多个漏洞安全通告
组件名称 :OpenSSL
安全公告链接 :
https://www.openssl.org/news/secadv/20210824.txt
漏洞分析
1 组件介绍
OpenSSL是一个开源的密码学套件库包。包括SSL协议库,应用程序和密码算法库等功能,提供完整的传输层安全实现,可以实现密钥生成,数字签名,数字证书签发,信息摘要等完整的加解密功能,保证通信的私密性。
2 漏洞简介
近日,深信服安全团队监测到一则OpenSSL官方发布安全补丁的通告,共修复了2个安全漏洞,其中包含1个高危漏洞的信息。
|
序号 |
漏洞名 |
|
严重等级 |
影响版本 |
|
1 |
OpenSSL缓冲区溢出漏洞 |
CVE-2021-3711 |
高危 |
1.1.1<=OpenSSL<=1.1.1k |
|
2 |
OpenSSL缓冲区溢出漏洞 |
CVE-2021-3712 |
中危 |
1.1.1<=OpenSSL<=1.1.1k 1.0.2<=OpenSSL<=1.0.2y |
3 漏洞描述
漏洞1 OpenSSL缓冲区溢出漏洞 CVE-2021-3711
该漏洞是由于OpenSSL调用用来解密SM2加密的数据所用的API函数EVP_PKEY_decrypt时,计算缓冲区大小存在错误,攻击者可利用该漏洞,构造恶意数据执行远程代码执行攻击,最终可控制程序的运行或造成程序崩溃。
漏洞2 OpenSSL缓冲区溢出漏洞 CVE-2021-3712
该漏洞是由于OpenSSL用于存储ASN.1字符串的结构ASN1_STRING在创建时没有严格遵守字符串的零字节结尾,打印时可能发生读取缓冲区溢出,攻击者可利用该漏洞,构造恶意数据执行信息泄露攻击,最终可造成服务器敏感性信息泄露或程序崩溃。
影响范围
OpenSSL是多数Linux发行版系统默认的密码套件库,由于其强大的功能被广泛使用。可能受漏洞影响的资产广泛分布于世界各地,此次曝出的漏洞有高危和中危的漏洞,涉及用户量大,漏洞影响力较大。
解决方案
1 官方修复建议
执行命令
openssl version
显示的版本如属于上述的影响版本,则存在此漏洞。
2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.openssl.org/source/
3 深信服解决方案
【深信服安全云眼Cloudeye】在OpenSSL缓冲区溢出漏洞CVE-2021-3711/ CVE-2021-3712爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:http://saas.sangfor.com.cn
【深信服云镜JY】在OpenSSL缓冲区溢出漏洞CVE-2021-3711/ CVE-2021-3712爆发第一时间即完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。
时间轴
2021/8/25 深信服监测到OpenSSL官方发布安全更新。
2021/8/25 深信服千里目安全实验室发布漏洞通告。
参考链接
https://www.openssl.org/news/vulnerabilities.html
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):【安全公告】OpenSSL多个漏洞安全通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论