OpenSSL 專案釋出安全公告稱存在一個影響 OpenSSL 1.1.1d, 1.1.1e 和 1.1.1f 的高危漏洞 (CVE-2020-1967),該漏洞可被用於發起 DoS 攻擊。
根據官方對該漏洞的描述,在 TLS 1.3 握手期間或握手之後呼叫 SSL_check_chain() 函式的伺服器或客戶端應用可能會導致崩潰,原因是不正確處理"signature_algorithms_cert" TLS 擴充套件而引起的空指標引用。如果從另一方接收到一個無效或未被識別的簽名演算法,則會發生崩潰。這可能會被惡意攻擊者利用併發起 DoS 攻擊。
該漏洞由 Bernd Edlinger 透過 GCC 中的新靜態分析通道 -fanalyzer 發現,並已於2020年4月7日向 OpenSSL 報告。
對於受影響的 OpenSSL 1.1.1(1.1.1d,1.1.1e 和 1.1.1f)使用者,建議儘可能快地升級到 1.1.1g。OpenSSL 1.1.1d 之前的版本不受此漏洞影響。
更早的版本如 OpenSSL 1.0.2 和 1.1.0 也均未受影響,不過這些版本都不再被支援,也無法再接受更新。建議使用這些版本的使用者升級至 OpenSSL 1.1.1。
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/115105/openssl-cve-2020-1967
OpenSSL 高危漏洞影響 OpenSSL 1.1.1 的多個版本已經有332次圍觀
