综述
当地时间12月8日,OpenSSL发布安全通告公布了一个空指针解引用漏洞(CVE-2020-1971),官方评级高危。
漏洞存在于OpenSSL的函数GENERAL_NAME_cmp中,GENERAL_NAME_cmp函数可用来比较GENERAL_NAME的不同实例,以查看它们是否相等。当被比较的两个GENERAL_NAME都包含EDIPartyName时,将触发空指针解引用,造成程序崩溃最终导致拒绝服务。
因此,如果攻击者可以控制被比较的两个参数则就有可能触发崩溃。例如,欺骗客户端或服务器,使其根据恶意CRL检查恶意证书。
参考链接:
https://www.openssl.org/news/secadv/20201208.txt
受影响版本
- OpenSSL 1.1.1
- OpenSSL 1.0.2(已不再受公开支持)
不受影响版本
OpenSSL 1.1.1i
解决方案
官方已发布修复了漏洞的新版本,建议受影响用户尽快升级。
下载链接: