OpenSSL爆严重DoS和证书验证漏洞
OpenSSL是一个功能丰富且自包含的开源安全工具箱。它提供的主要功能有:SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准实现和PKCS12个人数字证书格式实现等功能。OpenSSL采用C语言作为开发语言,这使得它具有优秀的跨平台性能。OpenSSL支持Linux、UNIX、windows、Mac等平台。
3月25日,OpenSSL发布安全公告,称在更新的1.1.1k版本中修复了2个高危安全漏洞:CVE-2021-3449和CVE-2021-3450。
- CVE-2021-3449: 该漏洞是空指针间接引用引发的DoS 漏洞,但该漏洞只影响OpenSSL 服务器实例,不影响客户端。
- CVE-2021-3450: 该漏洞是CA证书验证不当漏洞,既影响服务器也影响客户端实例。
CVE-2021-3449
在重新协商的过程上,客户端发送恶意ClientHello消息就可以触发该漏洞,引发服务器奔溃。如果TLSv1.2的renegotiationClientHello 忽略了signature_algorithms扩展,但是包含signature_algorithms_cert扩展,那么空指针间接引用就会引发奔溃和DoS 攻击。
该漏洞影响启用了TLSv1.2和重新协商的OpenSSL1.1.1到1.1.1j版本,漏洞不影响OpenSSL客户端。由于TLSv1.2和重新协商是OpenSSL服务器的默认配置,因此许多服务器都受到该漏洞的影响。
修复该DoS bug只需要一行代码,具体来说就是将peer_sigalgslen 设置为0。
CVE-2021-3449补丁
CVE-2021-3450
CVE-2021-3450漏洞是CA 证书验证绕过漏洞,与X509_V_FLAG_X509_STRICTflag有关。该flag是OpenSSL用来禁用损坏的证书流,并需要证书通过X509 规则的验证。
但是由于一个回归bug的存在,OpenSSL v1.1.1h及以上版本受到该漏洞的影响。幸运的是该flag在这些版本中并不是默认设置的。从OpenSSLv1.1.1h版本开始,会对编码的椭圆曲线参数进行额外的严格检查。但是在检查的实现中存在错误,导致之前的确认链上证书的检查结果是之前覆写的有效的CA证书。因此,OpenSSL实例无法检查非CA 证书不能是其他证书的发布者,因此攻击者可以利用这个漏洞来进行证书绕过。
总结
这两个漏洞都不影响OpenSSL1.0.2版本,新发布的OpenSSL1.1.1k版本修复了这两个漏洞,研究人员建议用户尽快进行升级更新,以保护其OpenSSL实例。
更多参见OpenSSL安全公告:https://www.openssl.org/news/vulnerabilities.html
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10新雨林木风 Windows10 x86 专业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活系统,无
相关文章
- Win7旗舰版网络和共享中心在哪里?
- Zend Framework远程执行代码漏洞
- 2020年值得关注的网络安全趋势
- win7笔记本电脑怎么连接无线网络 无线网络WiFi的设置教程
- CB Insights 报告:安全公司正在借 AI 之力,预测、防御并抵抗网络攻击
- 电脑屏幕发黄怎么回事 显示器屏幕发黄是什么原因?
- solaris网络和IP设置基础
- 细思恐极:美国NSA独立发现微软严重漏洞,上一次它泄露的“永恒之蓝”造成全球灾难
- 黑暗网络市场帝国遭DDoS攻击而关闭,帝国提供多种非法商品
- 扎克伯格首度回应数据泄漏丑闻:保护不了用户信息,就不配提供服务
- 6个个人信息与物联网设备隐私安全的方法
- 黑客给你发offer?
- 如何解决两因素和多因素身份验证的大问题
- 哪些是绝地求生常见异常解决方案?
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1重装上阵新赛季有哪些重型武器_重装上阵新赛季重型武器列表
- 2使用win7中本地搜索功能时四个技巧快速找到文件的操作方如何用win7的搜索功能法
- 3天天酷跑布鲁与冰原狼仔哪一个好 布鲁好还是冰原狼仔好
- 4斐讯k1路由器刷Breed BootLoader(不死UBoot)教程
- 5路由器密码忘了怎么办 无线路由器登陆密码忘了解决方法【详解】
- 6如何重装系统(安装系统)win7,本文教您如何迅速重装win7系统
- 7Win8安装Office2013提示出错1402怎样办?
- 8WinXP打印机无法打印提示该文档未能打印怎样办?
- 9windows7专业版原版下载
- 10Win10下载软件被阻止怎么办?win10下载软件被阻止的处理办法
常用系统
- 1深度技术 Windows 10 x64 企业版 电脑城装机版2020年6月(64位) 高速下载
- 2新萝卜家园电脑城专用系统 Windows10 x64 企业版 版本1507 2021年4月(64位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x64 企业装机版 版本1507 2021年9月(64位) ISO镜像高速下载
- 4雨林木风Ghost Win7 x64 SP1 极速装机版2020年3月(64位) 高速下载
- 5深度技术Ghost Win8.1 x32位 特别纯净版2022年6月(免激活) ISO镜像高速下载
- 6深度技术Ghost Win8.1 64位 完美纯净版2018.6月(免激活) ISO镜像免费下载
- 7电脑公司Ghost Win8.1 X64位 中秋特别 纯净版2020年9月(自动激活) ISO镜像快速下载
- 8电脑公司Ghost Win7 x64 Sp1装机万能版2020年8月(64位) ISO镜像免费下载
- 9深度技术 Ghost Win7 x64 Sp1 电脑城纯净版2020年1月(64位) ISO镜像高速下载
- 10电脑公司 装机专用系统Windows10 x64 企业装机版 版本1507 2022年6月(64位) ISO镜像高速下载