OpenSSL 修复可导致 DoS攻击的高危漏洞

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

周二,OpenSSL 发布更新修复了一个可导致 DoS 攻击的高危漏洞。

OpenSSL Project 表示该漏洞编号为 CVE-2020-1967,它是存在于 SSL_check_chain 函数中的“分段错误”。

安全公告指出,“因对 ‘signature_algorithms_cert’ TLS 扩展的错误处理而引发的空解指针引用,会导致在 TLS 1.3 握手时或之后调用函数 SSL_check_chain() 的服务器或客户端应用崩溃。”另外,“如果从对等方接收到无效或无法识别的签名算法,则会发生崩溃。恶意对等方可在拒绝服务攻击中利用该漏洞。”

该漏洞影响 OpenSSL 版本 1.1.1d1.1.1e 1.1.1f,且已在版本 1.1.1g中修复。老旧版本 1.0.21.1.0不再接收安全更新,因此并不受该漏洞影响。

研究员 Bernd Edlinger 47日将该漏洞告知 OpenSSL Project,他是通过最近推出的 GNU Compiler Collection(GCC) 静态代码分析器发现的。

这是2020年出现的首个影响 OpenSSL 的漏洞。自2014年爆发“心脏出血”漏洞后,OpenSSL 的安全性已得到提升。虽然在2014年爆发“心脏出血”漏洞至2016年年底期间,OpenSSL 被曝近12个严重和高危漏洞,但在2017年研究员仅发现1个高危漏洞,而在2018年和2019年,修复的所有问题均为中低危漏洞。

推荐阅读

BCS2019议题分享|开源软件安全实践与思考

每1000行代码有14个安全缺陷,开源软件的安全令人堪忧

原文链接

https://www.securityweek.com/high-severity-vulnerability-openssl-allows-dos-attacks

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~

你可能感兴趣的:(OpenSSL 修复可导致 DoS攻击的高危漏洞)