OpenSSL 通告两个高危漏洞,可绕过证书安全校验

admin
admin
admin
139217
文章
114
评论
2021年3月26日16:20:50评论8 views字数 1206阅读4分1秒阅读模式

OpenSSL 发布安全公告披露两个刚发现的高危漏洞,思科表示这些漏洞已经影响了思科的产品,思科正在调查产品线确定影响的范围和程度。截至目前,NVD 尚未给出漏洞的 CVSS 评分,在 OpenSSL 官方安全公告中这两个漏洞的严重程度评级为 High(高)

CVE-2021-3449

2021 年 3 月 17 日,诺基亚的安全研究员向 OpenSLL 报告了该漏洞。由于 TLSv1.2 在重新协商 ClientHello 时,忽略 signature_algorithms 扩展但实际带有 signature_algorithms 扩展就会产生空指针解引用,攻击者构造重新协商的 ClientHello 就会导致 OpenSSL TLS 服务器崩溃或拒绝服务(TLSv1.2 默认启用重新协商)。

  • 所有 OpenSSL 1.1.1 版本都存在此问题,建议尽快升级到 OpenSSL 1.1.1k

  • 尽管 OpenSSL 1.0.2 并不受影响,但该版本已经停止更新不再被支持,同样建议尽快升级

  • 不再受到支持的 OpenSSL 1.1.0 并未评估是否受到影响,用户应该升级到最新的 OpenSSL 1.1.1

CVE-2021-3450

2021 年 3 月 18 日,Akamai 的安全研究员向 OpenSLL 报告了该漏洞。校验证书链时,X509_V_FLAG_X509_STRICT 选项允许对证书链中的证书进行额外的安全检查,而自 OpenSSL 1.1.1h 开始,不再允许证书链中显式编码椭圆曲线参数的证书进行额外的安全检查。这会导致证书链中由有效 CA 颁发的证书的安全检查结果被覆盖,也就绕过了非 CA 证书不能签发其他证书的检查
  • OpenSSL 1.1.1h 与以后的版本都存在此问题,建议尽快升级到 OpenSSL 1.1.1k
  • OpenSSL 1.0.2 并不受影响,但该版本已经停止更新不再被支持,同样建议尽快升级
受影响的产品
  • OpenSSL OpenSSL 1.1.1h
  • OpenSSL OpenSSL 1.1.1i
  • OpenSSL OpenSSL 1.1.1j

相关链接
OpenSSL 官方安全通告
​https://www.openssl.org/news/secadv/20210325.txt
NVD CVE-2021-3449
https://nvd.nist.gov/vuln/detail/CVE-2021-3449

NVD CVE-2021-3450
https://nvd.nist.gov/vuln/detail/CVE-2021-3450

CVE-2021-3449
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449
CVE-2021-3450
​https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3450

原文始发于微信公众号(威胁棱镜):【漏洞预警】OpenSSL 通告两个高危漏洞,可绕过证书安全校验

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月26日16:20:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   OpenSSL 通告两个高危漏洞,可绕过证书安全校验https://cn-sec.com/archives/595135.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息