openssl升级_CVE-2020-1967:openssl拒绝服务漏洞通告0x01 漏洞背景
2020年04⽉21⽇, 360CERT监测发现 openssl 官⽅发布了 TLS 1.3 组件拒绝服务漏洞 的风险通告,该漏洞编号为 CVE-2020-1967,漏洞等级:⾼危。
openssl 是⼀个开放源代码的软件库包,应⽤程序可以使⽤这个包来进⾏安全通信。这个包⼴泛被应⽤在互联⽹的⽹页服务器上。其主要库是以C语⾔所写成,实现了基本的加密功能,实现了SSL与TLS协议。openssl可以运⾏在OpenVMS、 Microsoft Windows以及绝⼤多数类Unix操作系统上(包括Solaris,Linux,MacOS与各种版本的开放源代码BSD操作系统)。
TLS(Transport Layer Security) 是⼀种安全协议,⽬的是为互联⽹通信提供安全及数据完整性保障。在浏览器、电⼦邮件、即时通信、VoIP、⽹络传真等应⽤程序中都⼴泛⽀持这个协议。该协议当前已成为互联⽹上保密通信的⼯业标准。
openssl 存在 拒绝服务漏洞,攻击者 通过 发送特制的请求包,可以造成 ⽬标主机服务崩溃或拒绝服务
对此,360CERT建议⼴⼤⽤户及时安装最新补丁,做好资产⾃查以及预防⼯作,以免遭受⿊客攻击。
0x02 风险等级
360CERT对该漏洞的评定结果如下
0x03 漏洞详情
官⽅描述
服务端或客户端程序在 SSL_check_chain() 函数处理TLS 1.3握⼿前后。可能会触发空指针解引⽤,导致错误处理 tls 扩展
cve漏洞库signature_algorithms_cert。当服务端或客户端程序收到⼀个⽆效或⽆法识别的签名算法时可能会引发崩溃或拒绝服务漏洞。
0x04 影响版本
openssl:1.1.1d
openssl:1.1.1e
openssl:1.1.1f
0x05 修复建议
通⽤修补建议:
1.0.2及之前版本的⽤户不受该漏洞影响,但此类版本已经失去⽀持,建议⽤户升级到 1.1.1d
0x06 相关空间测绘数据
360安全⼤脑-Quake⽹络空间测绘系统通过对全⽹资产测绘,发现 openssl 在全球均有⼴泛使⽤,具体分布如下图所⽰。
0x07 产品侧解决⽅案
360城市级⽹络安全监测服务
360安全⼤脑的QUAKE资产测绘平台通过资产测绘技术⼿段,对该类 漏洞 进⾏监测,请⽤户联系相关产品区域负责⼈获取对应产品。0x08 时间线
2020-04-21 openssl官⽅发布安全通告
2020-04-22 360CERT发布预警