CVE-2020-1967: openssl 拒绝服务漏洞通告

2020-04-26 17:43:16
openssl 官方发布了 TLS 1.3 组件拒绝服务漏洞 的风险通告,该漏洞编号为 CVE-2020-1967。

【漏洞背景】

20200421日, openssl 官方发布了 TLS 1.3 组件拒绝服务漏洞 的风险通告,该漏洞编号为 CVE-2020-1967

【漏洞等级】高危,影响面广泛。

【漏洞概述】

openssl 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信。这个包广泛被应用在互联网的网页服务器上。其主要库是以C语言所写成,实现了基本的加密功能,实现了SSLTLS协议。openssl可以运行在OpenVMS Microsoft Windows以及绝大多数类Unix操作系统上(包括SolarisLinuxMacOS与各种版本的开放源代码BSD操作系统)。 

TLS(Transport Layer Security) 是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。

在浏览器、电子邮件、即时通信、VoIP、网络传真等应用程序中都广泛支持这个协议。该协议当前已成为互联网上保密通信的工业标准。 

openssl 存在拒绝服务漏洞,攻击者通过发送特制的请求包,可以造成目标主机服务崩溃或拒绝服务。 

建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

【漏洞详情】

服务端或客户端程序在 SSL_check_chain() 函数处理TLS 1.3握手前后。可能会触发空指针解引用,导致错误处理 tls 扩展 signature_algorithms_cert。当服务端或客户端程序收到一个无效或无法识别的签名算法时可能会引发崩溃或拒绝服务漏洞。

【影响版本】

openssl1.1.1d

openssl1.1.1e

openssl1.1.1f

【影响范围】

根据腾讯安全网络资产风险监测系统提供的数据,发现该漏洞至少影响 17万余台暴露在公网的Web服务器。

服务器地理分布如下:

【修复建议】

通用修补建议:

升级到 1.1.1g 版本,下载地址为:https://www.openssl.org/source/。 

1.0.2及之前版本的用户不受该漏洞影响,但此类版本已经失去支持,建议用户升级到 1.1.1g。



【腾讯安全解决方案】

 腾讯T-Sec主机安全(Cloud Workload ProtectionCWP,云镜),已支持检测CVE-2020-1967漏洞并提供修复方案。

腾讯T-Sec主机安全(Cloud Workload Protection,CWP)是基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,主要包括密码破解拦截、异常登录提醒、木马文件查杀、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险。

更多信息,请参考:https://s.tencent.com/product/yunjing/index.html

【时间线】

2020-04-21 openssl官方发布安全通告

2020-04-26 腾讯安全发布漏洞预警,并发布主机安全解决方案。

【参考链接】

OpenSSL Security Advisory 21 April 2020

https://www.openssl.org/news/secadv/20200421.txt

最新资讯