最近，openssl正式發(fā)布了TLS 1.3組件拒絕服務(wù)漏洞的風(fēng)險(xiǎn)通知，漏洞編號為CVE-2020-1967，且漏洞級別為高風(fēng)險(xiǎn)。

OpenSSL是用于應(yīng)用程序的軟件庫，可保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)上的通信免遭竊聽或需要識別另一方的身份。它被Internet服務(wù)器廣泛使用，包括大多數(shù)HTTPS網(wǎng)站。 TLS（傳輸層安全性）是一種安全協(xié)議，其目的是為Internet通信提供安全性和數(shù)據(jù)完整性保證。該協(xié)議在瀏覽器，電子郵件，即時(shí)消息，VoIP和Internet傳真等應(yīng)用程序中得到廣泛支持。該協(xié)議現(xiàn)已成為Internet上安全通信的行業(yè)標(biāo)準(zhǔn)。

openssl中存在一個拒絕服務(wù)漏洞。攻擊者可以發(fā)送特制的請求數(shù)據(jù)包，以使目標(biāo)主機(jī)服務(wù)崩潰或拒絕服務(wù)。

漏洞詳情

“在TLS 1.3握手期間或之后調(diào)用SSL_check_chain（）函數(shù)的服務(wù)器或客戶端應(yīng)用程序可能會由于對NULL指針的取消引用而導(dǎo)致崩潰，這是由于對'signature_algorithms_cert'TLS擴(kuò)展的不正確處理導(dǎo)致的，”閱讀OpenSSL項(xiàng)目發(fā)布的建議。

“如果從對等方收到無效或無法識別的簽名算法，則會發(fā)生崩潰。惡意對等方可以在拒絕服務(wù)攻擊中利用此漏洞?！?/p>

受影響的版本

• openssl：1.1.1d
• openssl：1.1.1e
• openssl：1.1.1f

解決方法：

升級到1.1.1g版本

【內(nèi)容來源：Linux公社】

總結(jié)

以上是生活随笔為你收集整理的openssl升级_CVE-2020-1967：OpenSSL拒绝服务漏洞警报的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。