OpenSSL爆严重DoS和证书验证漏洞


OpenSSL是一个功能丰富且自包含的开源安全工具箱。它提供的主要功能有:SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准实现和PKCS12个人数字证书格式实现等功能。OpenSSL采用C语言作为开发语言,这使得它具有优秀的跨平台性能。OpenSSL支持Linux、UNIX、windows、Mac等平台。

3月25日,OpenSSL发布安全公告,称在更新的1.1.1k版本中修复了2个高危安全漏洞:CVE-2021-3449和CVE-2021-3450。

  • CVE-2021-3449: 该漏洞是空指针间接引用引发的DoS 漏洞,但该漏洞只影响OpenSSL 服务器实例,不影响客户端。
  •  CVE-2021-3450: 该漏洞是CA证书验证不当漏洞,既影响服务器也影响客户端实例。

CVE-2021-3449

在重新协商的过程上,客户端发送恶意ClientHello 消息就可以触发该漏洞,引发服务器奔溃。如果TLSv1.2的renegotiation ClientHello 忽略了signature_algorithms 扩展,但是包含signature_algorithms_cert 扩展,那么空指针间接引用就会引发奔溃和DoS 攻击。

该漏洞影响启用了TLSv1.2和重新协商的OpenSSL 1.1.1到1.1.1j版本,漏洞不影响OpenSSL 客户端。由于TLSv1.2和重新协商是OpenSSL 服务器的默认配置,因此许多服务器都受到该漏洞的影响。

修复该DoS bug只需要一行代码,具体来说就是将peer_sigalgslen 设置为0。

CVE-2021-3449补丁

CVE-2021-3450

CVE-2021-3450漏洞是CA 证书验证绕过漏洞,与X509_V_FLAG_X509_STRICT flag有关。该flag是OpenSSL 用来禁用损坏的证书流,并需要证书通过X509 规则的验证。

但是由于一个回归bug的存在,OpenSSL v1.1.1h及以上版本受到该漏洞的影响。幸运的是该flag在这些版本中并不是默认设置的。从OpenSSL v 1.1.1h版本开始,会对编码的椭圆曲线参数进行额外的严格检查。但是在检查的实现中存在错误,导致之前的确认链上证书的检查结果是之前覆写的有效的CA 证书。因此,OpenSSL 实例无法检查非CA 证书不能是其他证书的发布者,因此攻击者可以利用这个漏洞来进行证书绕过。

总结

这两个漏洞都不影响OpenSSL 1.0.2版本,新发布的OpenSSL 1.1.1k版本修复了这两个漏洞,研究人员建议用户尽快进行升级更新,以保护其OpenSSL实例。

更多参见OpenSSL安全公告:https://www.openssl.org/news/vulnerabilities.html

本文翻译自:https://www.bleepingcomputer.com/news/security/openssl-fixes-severe-dos-certificate-validation-vulnerabilities/如若转载,请注明原文地址。

服务器安全狗主动防御之文件及目录保护功能教程

一.文件及目录保护作用服务器安全狗文件及目录保护功能,其作用主要是为了保护用户服务器重要的文件与目录不被篡改与删除。建议用户安装完服务器安全狗后,要注意开启文件及目录保护功能以便保障文件与目录的安全。二.文件及目录保护设置文件及目录保护规则类型主要分为系统保护...
服务器安全狗服务器安全主动防御目录保护

常见的网站安全问题

尽管你的网站用了很多高大上的技术,但是如果网站的安全性不足,无法保护网站的数据,甚至成为恶意程序的寄生温床,那前面堆砌了再多的美好也都成了枉然。SQL注入在众多安全性漏洞中,SQL 注入绝对是最严重但也是最好处理的一种安全漏洞。在数据库执行查询句时,如果将恶意...
服务器安全网站安全

服务器安全狗垃圾清理功能操作教程

垃圾清理功能,大家都不陌生。服务器安全狗的垃圾清理功能通过对包括系统垃圾文件和注册表垃圾的清理,帮助用户提高系统运行速度与效率。下面我们一起来详细了解下垃圾清理功能:垃圾清理分为文件清理与注册表清理两部分内容,其中注册表中还具有“恢复注册表”的功能(选择需要恢...
服务器安全狗服务器安全

新装的Ubuntu 14.04 LTS系统需要做的5件事

Ubuntu 14.04 LTS是最新的Ubuntu长期支持版本,拥有多项改进并添加了新版本软件。如果你已升级至Ubuntu 14.04,在体验新版本的同时还需要知道5件事。1、禁用集成的Amazon搜索Ubuntu Dash集成了Amazon搜索结果,当你在...
ubuntuLTS