【安全通告】OpenSSL拒绝服务漏洞(CVE-2020-1971)

综述

当地时间12月8日,OpenSSL发布安全通告公布了一个空指针解引用漏洞(CVE-2020-1971),官方评级高危。

漏洞存在于OpenSSL的函数GENERAL_NAME_cmp中,GENERAL_NAME_cmp函数可用来比较GENERAL_NAME的不同实例,以查看它们是否相等。当被比较的两个GENERAL_NAME都包含EDIPartyName时,将触发空指针解引用,造成程序崩溃最终导致拒绝服务。

因此,如果攻击者可以控制被比较的两个参数则就有可能触发崩溃。例如,欺骗客户端或服务器,使其根据恶意CRL检查恶意证书。

参考链接:

https://www.openssl.org/news/secadv/20201208.txt

受影响版本

  • OpenSSL 1.1.1
  • OpenSSL 1.0.2(已不再受公开支持)

不受影响版本

OpenSSL 1.1.1i

解决方案

官方已发布修复了漏洞的新版本,建议受影响用户尽快升级。

下载链接:

https://www.openssl.org/source/

Spread the word. Share this post!

Meet The Author

Leave Comment