漏洞情报|OpenSSL拒绝服务漏洞风险公告(CVE-2020-1971)

2020-12-14 5,231

2020年12月8日,腾讯云安全运营中心监测到,OpenSSL官方发布了拒绝服务漏洞风险通告,漏洞编号为CVE-2020-1971

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

OpenSSL在处理EDIPartyName(X.509 GeneralName类型标识)的时候,存在一处空指针解引用,并引起程序崩溃导致拒绝服务。攻击者可通过构造特制的证书验证过程触发该漏洞,并导致服务端拒绝服务。

风险等级

高风险

漏洞风险

漏洞被利用可能导致拒绝服务。

影响版本

OpenSSL : 1.0.2-1.0.2w

OpenSSL : 1.1.1-1.1.1h

安全版本

OpenSSL : 1.1.1i

OpenSSL : 1.0.2x

修复建议

将OpenSSL升级到1.1.1i、 1.0.2x或最新版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

漏洞参考

https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971

https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971



本文作者:云鼎实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/149374.html

Tags:
评论  (0)
快来写下你的想法吧!

云鼎实验室

文章数:49 积分: 164

我们正努力成为云上安全的技术领导者~

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号