最近，openssl正式發布了TLS 1.3組件拒絕服務漏洞的風險通知，漏洞編號為CVE-2020-1967，且漏洞級別為高風險。

OpenSSL是用于應用程序的軟件庫，可保護計算機網絡上的通信免遭竊聽或需要識別另一方的身份。它被Internet服務器廣泛使用，包括大多數HTTPS網站。 TLS（傳輸層安全性）是一種安全協議，其目的是為Internet通信提供安全性和數據完整性保證。該協議在瀏覽器，電子郵件，即時消息，VoIP和Internet傳真等應用程序中得到廣泛支持。該協議現已成為Internet上安全通信的行業標準。

openssl中存在一個拒絕服務漏洞。攻擊者可以發送特制的請求數據包，以使目標主機服務崩潰或拒絕服務。

漏洞詳情

“在TLS 1.3握手期間或之后調用SSL_check_chain（）函數的服務器或客戶端應用程序可能會由于對NULL指針的取消引用而導致崩潰，這是由于對'signature_algorithms_cert'TLS擴展的不正確處理導致的，”閱讀OpenSSL項目發布的建議。

“如果從對等方收到無效或無法識別的簽名算法，則會發生崩潰。惡意對等方可以在拒絕服務攻擊中利用此漏洞。”

受影響的版本

• openssl：1.1.1d
• openssl：1.1.1e
• openssl：1.1.1f

解決方法：

升級到1.1.1g版本

【內容來源：Linux公社】

總結

以上是生活随笔為你收集整理的openssl升级_CVE-2020-1967：OpenSSL拒绝服务漏洞警报的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。