CVE-2020-1971: OpenSSL 拒绝服务漏洞风险通告,腾讯主机安全(云镜)支持检测

2020-12-09 09:41:36
2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。

漏洞描述:

20201208日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒绝服务漏洞。当两个GENERAL_NAME都包含同一个EDIPARTYNAME时,由于GENERAL_NAME_cmp函数未能正确处理,从而导致空指针引用,并可能导致拒绝服务。

 

腾讯安全专家建议受影响的OpenSSL用户尽快采取安全措施阻止漏洞攻击。

 

OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

 

漏洞编号:CVE-2020-1971

 

漏洞等级:高危

 

受影响的版本:

OpenSSL 1.1.1 1.1.1h

OpenSSL 1.0.2 1.0.2w

 

安全版本:

OpenSSL 1.1.1i

OpenSSL 1.0.2x

 

腾讯安全网络空间测绘:

腾讯安全网络空间测绘结果显示,OpenSSL全球应用极其广泛,已成为互联网重要的安全基础设施。在应用地理分布上,美国、日本、中国、德国及中国香港位居前5。浙江、广东、北京、上海、四川位居国内前5。

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。


漏洞修复建议:

建议所有用户升级到最新版本。


下载链接:
https://www.openssl.org/source/

 

腾讯安全解决方案:

腾讯T-Sec主机安全(云镜)漏洞库日期2020-12-9之后的版本,已支持对OpenSSL 拒绝服务漏洞(CVE-2020-1971)进行检测。


参考链接:

https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971

https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971



最新资讯