OpenSSL的维护者已经发布了针对其软件中的两个高度严重的安全漏洞的修复程序,该漏洞可被利用来进行拒绝服务(DoS)攻击并绕过证书验证。
跟踪为CVE-2021-3449和CVE-2021-3450,这两个漏洞已在周四发布的更新程序(OpenSSL 1.1.1k版)中得到解决。虽然CVE-2021-3449影响所有OpenSSL 1.1.1版本,但CVE-2021-3450影响OpenSSL版本1.1.1h及更高版本。
OpenSSL是一个由加密功能组成的软件库,这些加密功能实现了传输层安全协议,旨在保护通过计算机网络发送的通信。
据国际知名白帽黑客、东方联盟创始人郭盛华透露:“CVE-2021-3449与潜在的DoS漏洞有关,该漏洞可能是由于NULL指针取消引用而引起的,如果在重新协商过程中客户端在传输过程中发送了恶意的“ ClientHello”消息,则可能导致OpenSSL TLS服务器崩溃。服务器和用户之间的握手。该问题是自2018年1月以来所做的更改的一部分。”
“如果TLSv1.2重新协商ClientHello省略了signature_algorithms扩展名(在最初的ClientHello中存在),但是包括了signature_algorithms_cert扩展名,则将导致NULL指针取消引用,从而导致崩溃和拒绝服务攻击。”
诺基亚于3月17日报告了此漏洞,该漏洞被归功于诺基亚,并通过单行代码更改修复了DoS错误。
另一方面,CVE-2021-3450与X509_V_FLAG_X509_STRICT标志有关,该标志启用对证书链中存在的证书的附加安全检查。虽然默认情况下未设置此标志,但是实现中的错误意味着OpenSSL无法检查“非CA证书一定不能颁发其他证书”,从而导致证书绕过。
结果,该漏洞阻止了应用拒绝由浏览器信任的证书颁发机构(CA)未进行数字签名的TLS证书。
OpenSSL说:“为了受到影响,应用程序必须明确设置X509_V_FLAG_X509_STRICT验证标志,并且不设置证书验证的目的,或者在TLS客户端或服务器应用程序的情况下,应覆盖默认目的。”
尽管这两个问题都不会影响OpenSSL 1.0.2,但值得注意的是,该版本自2020年1月1日起不再受支持,并且不再接收更新。建议依赖OpenSSL漏洞版本的应用程序应用补丁程序,以减轻与漏洞相关的风险。(欢迎转载分享)