关于OpenSSL拒绝服务漏洞的安全通告
湘西电大平安校园网
关于OpenSSL拒绝服务漏洞的安全通告

来源:【】     更新时间:【2020年04月29日】     【打印本文

20200421日, openssl 官方发布了 TLS 1.3 组件拒绝服务漏洞 的风险通告,该漏洞编号为 CVE-2020-1967,漏洞等级:高危。

一、漏洞情况分析:

服务端或客户端程序在 SSL_check_chain() 函数处理TLS 1.3握手前后。可能会触发空指针解引用,导致错误处理 tls 扩展 signature_algorithms_cert。当服务端或客户端程序收到一个无效或无法识别的签名算法时可能会引发崩溃或拒绝服务漏洞。

二、受影响范围:

Openssl1.1.1d

Openssl1.1.1e

Openssl1.1.1f

三、漏洞处置建议:

升级到 1.1.1g 版本,下载地址为:https://www.openssl.org/source/

1.0.2及之前版本的用户不受该漏洞影响,但此类版本已经失去支持,建议用户升级到 1.1.1g

参考链接:

https://cert.360.cn/warning/detail?id=83b4133611aba0131a5e18fb2ea46aba