OpenSSL拒绝服务漏洞 (CVE-2020-1971) 预警

漏洞  网络安全威胁信息共享平台  2020-12-15

远程攻击者通过构造特制的证书验证过程触发该漏洞，并导致服务端拒绝服务。

一、基本情况

近日，监测发现OpenSSL发布了OpenSSL拒绝服务漏洞的风险通告，对应CVE编号：CVE-2020-1971，远程攻击者通过构造特制的证书验证过程触发该漏洞，并导致服务端拒绝服务。目前，OpenSSL官方已发布新版本修复该漏洞，建议受影响用户将OpenSSL升级至1.1.1i版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞详情

OpenSSL是一个开放源代码的软件库包，包括SSL协议库，应用程序和密码算法库等功能，提供完整的传输层安全实现，可以实现密钥生成，数字签名，数字证书签发，信息摘要等完整的加解密功能，保证通信的私密性。

OpenSSL在处理EDIPartyName (X.509 GeneralName类型)时，使用的函数GENERAL_NAME_cmp中存在一处空指针解引用。当使用该函数进行比较的两个参数都包含EDIPartyName时触发该漏洞，造成程序崩溃，最终导致拒绝服务，影响业务/功能正常运行。

四、影响范围

OpenSSL 1.1.1

OpenSSL 1.0.2

注：OpenSSL 1.0.2官方已停止公开版本的支持

五、处置建议

建议受影响用户将OpenSSL升级至1.1.1i版本，下载地址：

https://www.openssl.org/source/

六、参考链接

https://www.openssl.org/news/secadv/20201208.txt

支持单位：

上海观安信息技术股份有限公司

北京天融信网络安全技术有限公司

深信服科技股份有限公司

中国信息通信研究院

声明：本文来自网络安全威胁信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。