尊龙凯官网入口

首页 > 清静研究 > 清静转达 > 清静通告

OpenSSL CA证书绕过误差（CVE-2021-3450）

宣布时间 2021-03-26

0x00 误差概述

CVE ID	CVE-2021-3450	时间	2021-03-26
类型		等级	高危
远程使用	是	影响规模
PoC/EXP	未果真	在野使用

0x01 误差详情

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来举行清静通讯，阻止窃听，同时确认另一端毗连者的身份，它被普遍应用在互联网的网页服务器上。

2021年03月25日，OpenSSL项目宣布清静通告，果真了OpenSSL产品中的一个拒绝服务误差和一个证书验证绕过误差（CVE-2021-3449和CVE-2021-3450）。

OpenSSL 拒绝服务误差（CVE-2021-3449）

该误差是由于NULL指针作废引用导致的拒绝服务(DoS)误差，仅影响OpenSSL服务器实例，而不影响客户端。

若是从客户端发送了恶意的重新协商ClientHello新闻，则OpenSSL TLS服务器可能会瓦解。若是TLSv1.2重新协商ClientHello省略了signature_algorithms扩展名（在最初的ClientHello中保存），但包括了signature_algorithms_cert扩展名，则将导致NULL指针作废引用，从而导致瓦解和拒绝服务攻击。

以下是GitHub上对该误差的修复：

影响规模

运行带有TLS 1.2并启用了重新协商（默认设置）的OpenSSL 1.1.1

OpenSSL CA证书验证绕过误差（CVE-2021-3450）

该误差是证书揭晓机构（CA）证书验证绕过误差，影响服务器和客户端实例。

X509_V_FLAG_X509_STRICT标记可对证书链中保存的证书举行其它清静检查，默认情形下未设置。从OpenSSL版本1.1.1h最先，添加了一项检查以榨取在链中显式编码椭圆曲线参数的证书，这是附加的严酷检查。执行此检查时泛起一个过失，这意味着先前检查的效果会被笼罩，该检查用于确认链中的证书是有用的CA证书。

影响规模

OpenSSL 1.1.1h及更高版本

别的，今年2月，OpenSSL 项目也宣布了清静更新，修复了OpenSSL中的2个拒绝服务（DoS）误差和1个不准确的SSLv2回滚�；の蟛�。

0x02 处置惩罚建议

现在官方已修复了这两个误差，建议实时更新至OpenSSL 1.1.1k（OpenSSL 1.0.2不受这两个误差影响）。

下载链接：

https://openssl.en.softonic.com/

0x03 参考链接

https://www.openssl.org/news/secadv/20210325.txt

https://www.bleepingcomputer.com/news/security/openssl-fixes-severe-dos-certificate-validation-vulnerabilities/

https://securityaffairs.co/wordpress/115968/security/openssl-flaws-2.html?

https://github.com/openssl/openssl/commit/2a40b7bc7b94dd7de897a74571e7024f0cf0d63b

0x04 时间线

2021-03-25 OpenSSL宣布清静通告

2021-03-26 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯官网入口版权所有京ICP备05032414号京公网安备11010802024551号