OpenSSL拒绝服务漏洞安全风险通告

一、漏洞背景

近日，OpenSSL官方发布了TLS 1.3组件拒绝服务漏洞的风险通告，该漏洞编号为CVE-2020-1967，漏洞等级：高危。

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信。这个包广泛被应用在互联网的网页服务器上。其主要库是以C语言所写成，实现了基本的加密功能，实现了SSL与TLS协议。OpenSSL可以运行在OpenVMS、 Microsoft Windows以及绝大多数类Unix操作系统上（包括Solaris，Linux，MacOS与各种版本的开放源代码BSD操作系统）。

TLS(Transport Layer Security) 是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。在浏览器、电子邮件、即时通信、VoIP、网络传真等应用程序中都广泛支持这个协议。该协议当前已成为互联网上保密通信的工业标准。

对此，嘉诚安全建议广大用户做好安全自查工作，及时安装最新补丁，以免遭受黑客攻击。

二、漏洞详情

OpenSSL存在拒绝服务漏洞，攻击者通过发送特制的请求包，可以造成目标主机服务崩溃或拒绝服务。

官方说明：服务端或客户端程序在SSL_check_chain()函数处理TLS 1.3握手前后。可能会触发空指针解引用，导致错误处理 tls 扩展 signature_algorithms_cert。当服务端或客户端程序收到一个无效或无法识别的签名算法时可能会引发崩溃或拒绝服务漏洞。

三、危害影响

OpenSSL：1.1.1d

OpenSSL：1.1.1e

OpenSSL：1.1.1f

四、修复建议

目前，官方已发布最新版本，建议尽快升级：

https://www.openssl.org/source/

1.0.2及之前版本的用户不受该漏洞影响，但此类版本已经失去支持，建议用户升级到 1.1.1g

疫情肆虐，战“疫”有我，嘉诚安全在行动！

疫情期间，嘉诚公司网络安全事业部为客户提供7*24h实时安全监测和防护服务，对政府、医疗、金融等行业疫情一线的客户进行重点监测，及时推送安全风险提示信息及安全加固整改建议，重点保障客户应急指挥系统、视频会议系统、即时通讯等系统的有效运行，嘉诚公司与客户共同作战，网络安全事业部全员在岗，为广大疫情一线用户提供安全应急及安全咨询服务。

欢迎致电：400-004-1995、13756909388、18626682470。

原文始发于微信公众号（嘉诚安全）：OpenSSL拒绝服务漏洞安全风险通告