【高危】- OpenSSL 拒绝服务、证书绕过漏洞(CVE-2021-3450、CVE-2021-3449)
■ 漏洞描述
2021-03-25 OpenSSL发布了OpenSSL的安全更新风险通告,其中修复了多个高危严重漏洞。
CVE-2021-3450: 证书校验漏洞——由于OpenSSL对X.509证书链的验证逻辑中存在问题,导致受影响的系统接受由非CA证书或证书链签名的有效证书。成功的利用可能使攻击者能够进行中间人(MiTM)攻击并获取敏感信息。
CVE-2021-3449: 拒绝服务漏洞——OpenSSL TLSv1.2 重新协商选项(默认开启)中存在一处空指针解引用,并导致拒绝服务。
■ 影响范围
openssl: 1.1.1h~1.1.1j
■ 漏洞检测
匹配版本
■ 漏洞修复
升级到 openssl1.1.1k
■ 临时修复
针对 CVE-2021-3449 漏洞可以通过如下方式进行检测:
openssl s_client -tls1_2 -connect your_domain:443
[按下 R键]
查看关键词RENEGOTIATING下方是否有包含verify关键词的内容。若存在则受到影响,若出现write:errno=0则标识不受到该漏洞影响。
■ 漏洞详情
https://mp.weixin.qq.com/s/sa4OZfBbxzB9nd8d0vG_bw
2021-03-25 OpenSSL发布了OpenSSL的安全更新风险通告,其中修复了多个高危严重漏洞。
CVE-2021-3450: 证书校验漏洞——由于OpenSSL对X.509证书链的验证逻辑中存在问题,导致受影响的系统接受由非CA证书或证书链签名的有效证书。成功的利用可能使攻击者能够进行中间人(MiTM)攻击并获取敏感信息。
CVE-2021-3449: 拒绝服务漏洞——OpenSSL TLSv1.2 重新协商选项(默认开启)中存在一处空指针解引用,并导致拒绝服务。
■ 影响范围
openssl: 1.1.1h~1.1.1j
■ 漏洞检测
匹配版本
■ 漏洞修复
升级到 openssl1.1.1k
■ 临时修复
针对 CVE-2021-3449 漏洞可以通过如下方式进行检测:
openssl s_client -tls1_2 -connect your_domain:443
[按下 R键]
查看关键词RENEGOTIATING下方是否有包含verify关键词的内容。若存在则受到影响,若出现write:errno=0则标识不受到该漏洞影响。
■ 漏洞详情
https://mp.weixin.qq.com/s/sa4OZfBbxzB9nd8d0vG_bw