openssl升级_openssl 拒绝服务漏洞通告
漏洞名称
openssl 拒绝服务漏洞
漏洞编号
CVE-2020-1967
漏洞等级
高
漏洞描述
2020年04月21日,openssl 官方发布了 TLS 1.3 组件拒绝服务漏洞 的风险通告。 openssl 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信。这个包广泛被应用在互联网的网页服务器上。其主要库是以C语言所写成,实现了基本的加密功能,实现了SSL与TLS协议。openssl可以运行在OpenVMS、 Microsoft Windows以及绝大多数类Unix操作系统上(包括Solaris,Linux,MacOS与各种版本的开放源代码BSD操作系统)。 TLS(Transport Layer Security) 是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。在浏览器、电子邮件、即时通信、VoIP、网络传真等应用程序中都广泛支持这个协议。该协议当前已成为互联网上保密通信的工业标准。 服务端或客户端程序在 SSL_check_chain() 函数处理TLS 1.3握手前后。可能会触发空指针解引用,导致错误处理 tls 扩展 signature_algorithms_cert。当服务端或客户端程序收到一个无效或无法识别的签名算法时可能会引发崩溃或拒绝服务漏洞。影响范围
openssl:1.1.1d
openssl:1.1.1e
openssl:1.1.1f
修复措施
升级到 1.1.1d 版本,下载地址为:https://www.openssl.org/source/。
情报来源
https://cert.360.cn/warning/detail?id=83b4133611aba0131a5e18fb2ea46aba