OpenSSL是一个常用的软件库,用于构建需要建立安全通信的Web应用程序和服务器。近日,OpenSSL项目针对OpenSSL产品中潜伏的两个高危漏洞CVE-2021-3449和CVE-2021-3450发布公告。这两个漏洞包括:CVE-2021-3449:由于NULL指针取消引用而导致的拒绝服务(DoS)漏洞,仅影响OpenSSL服务器实例,不影响客户端。CVE-2021-3450:不正确的CA证书验证漏洞,同时影响服务器和客户端实例。只需一行代码即可修复DoS漏洞如果客户端在重新协商期间发送恶意的ClientHello消息,OpenSSLTLS服务器中的DoS漏洞(CVE-2021-3449)可能会使服务器崩溃。公告指出,“如果用于TLSv1.2重新协商的ClientHello省略了signature_algorithms扩展(它存在于初始ClientHello中),但包含signature_algorithms_cert扩展,它将导致NULL指针取消引用,从而导致崩溃和拒绝-服务攻击。”该漏洞仅影响运行在版本1.1.1和1.1.1j(含)之间且需要同时启用TLSv1.2和重新协商的OpenSSL服务器。然而,由于这是这些OpenSSL服务器版本的默认配置,许多活动服务器可能存在此潜在漏洞,而OpenSSL客户端不受此漏洞影响。幸运的是,修复此DoS漏洞非常简单,只需将peer_sigalgslen设置为0。该漏洞由诺基亚工程师PeterK?stle和SamuelSapalski发现,他们还提供了上述修复程序。CA证书漏洞CVE-2021-3450绕过CA证书验证的漏洞与X509_V_FLAG_X509_STRICT标志相关。OpenSSL使用此标志禁止对损坏的证书使用替代方法,并严格要求根据X509规则验证证书。但是,由于回归错误,OpenSSL版本1.1.1h及更高版本(但不包括固定的1.1.1k版本)受此漏洞影响,因为这些版本中未默认设置该标志。该公告指出“从OpenSSL1.1.1h版开始,添加了一项检查以禁止在链中明确编码椭圆曲线参数的证书作为额外的严格检查。但是,一个错误,意味着之前的检查确认链中的证书是有效的CA证书已被覆盖”。以上两个漏洞目前均不影响OpenSSL1.0.2,两个漏洞均已在OpenSSL1.1.1k中修复,建议用户升级至该版本以保护实例。本文转自OSCHINA文章标题:OpenSSL修复严重的DoS和证书验证漏洞本文地址:https://www.oschina.net/news/134860/openssl-fixes-severe-dos-vulnerabilities
