OpenSSL发布两个高危漏洞风险通告(CVE-2021-3449/3450),腾讯主机安全支持检测

2021-03-26 10:34:53
3月25日,OpenSSL官方发布两个高危漏洞风险通告,漏洞风险等级为“高”,攻击者利用漏洞可导致拒绝服务和中间人攻击,腾讯主机安全(云镜)已支持对该漏洞进行检测。

325日,OpenSSL官方发布两个高危漏洞风险通告,漏洞风险等级为“高”,攻击者利用漏洞可导致拒绝服务和中间人攻击。

OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连线者的身份。这个包广泛被应用在互联网的网页服务器上,已是互联网最重要的基础设施之一。

 

漏洞描述:

CVE-2021-3449signature_algorithms处理NULL指针反引用致拒绝服务漏洞 

严重程度:高

 

OpenSSL TLSv1.2 重新协商选项(默认开启)中存在一处空指针解引用,并导致拒绝服务。


受影响的版本:

此问题影响所有OpenSSL 1.1.1版本。

OpenSSL 1.0.2不受此问题影响。


安全版本:

OpenSSL 1.1.1k

 

CVE-2021-3450:证书校验漏洞 

严重程度:高

 

在开启 X509_V_FLAG_X509_STRICT 选项的 openssl 服务器上,由于OpenSSLX.509证书链的验证逻辑中存在问题,导致受影响的系统接受由非CA证书或证书链签名的有效证书。

攻击者可以通过使用任何有效的证书或证书链来签名精心制作的证书来利用此漏洞,成功利用漏洞可以实现中间人(MiTM)攻击并获取敏感信息。(例如:访问受证书身份验证保护的网络或资产,窃听加密通信内容,或诱骗受害人访问钓鱼网站)

  

受影响的版本:

OpenSSL 1.1.1h版本受此问题影响。

OpenSSL 1.0.2不受此问题影响。


安全版本:

OpenSSL 1.1.1k

  

漏洞修复:

腾讯安全专家建议受影响的用户,尽快升级到OpenSSL 1.1.1k

 

腾讯安全解决方案:

1.腾讯主机安全(云镜)已支持检测OpenSSL拒绝服务漏洞(CVE-2021-3449);

2.腾讯云WAF应用防火墙已支持对OpenSSL拒绝服务漏洞(CVE-2021-3449)利用流量进行清洗。

参考链接:

https://www.openssl.org/news/secadv/20210325.txt

https://www.cybersecurity-help.cz/vdb/SB2021032518

扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。



最新资讯