【漏洞背景】
2020年04月21日，openssl 官方發布了 TLS 1.3 組件拒絕服務漏洞?的風險通告，該漏洞編號為 CVE-2020-1967。

【漏洞等級】高危，影響廣泛。

【漏洞概述】
openssl是一個開放源代碼的軟件庫包，應用程序可以使用這個包來進行安全通信。這個包廣泛被應用在互聯網的網頁服務器上。其主要庫是以C語言所寫成，實現了基本的加密功能，實現了SSL與TLS協議。openssl可以運行在OpenVMS、 Microsoft Windows以及絕大多數類Unix操作系統上(包括Solaris，Linux，MacOS與各種版本的開放源代碼BSD操作系統)。?

TLS(Transport Layer Security)?是一種安全協議，目的是為互聯網通信提供安全及數據完整性保障。

在瀏覽器、電子郵件、即時通信、VoIP、網絡傳真等應用程序中都廣泛支持這個協議。該協議當前已成為互聯網上保密通信的工業標準。?

openssl 存在拒絕服務漏洞，攻擊者通過發送特制的請求包，可以造成目標主機服務崩潰或拒絕服務。?

建議廣大用戶及時安裝最新補丁，做好資產自查以及預防工作，以免遭受黑客攻擊。

【漏洞詳情】
服務端或客戶端程序在 SSL_check_chain()?函數處理TLS 1.3握手前后。可能會觸發空指針解引用，導致錯誤處理 tls 擴展 signature_algorithms_cert。當服務端或客戶端程序收到一個無效或無法識別的簽名算法時可能會引發崩潰或拒絕服務漏洞。

【影響版本】
openssl：1.1.1d
openssl：1.1.1e
openssl：1.1.1f

【影響范圍】根據騰訊安全網絡資產風險監測系統提供的數據，發現該漏洞影響超過17萬臺暴露在公網的Web服務器。

服務器地理分布如下：

【修復建議】通用修補建議：升級到 1.1.1g 版本，下載地址為：https://www.openssl.org/source/
1.0.2及之前版本的用戶不受該漏洞影響，但此類版本已經失去支持，建議用戶升級到 1.1.1g。

【騰訊安全解決方案】騰訊T-Sec主機安全(Cloud Workload Protection，CWP，云鏡)已支持檢測CVE-2020-1967漏洞并提供修復方案。

【時間線】
2020-04-21 openssl官方發布安全通告；
2020-04-26 騰訊安全發布漏洞預警，并提供主機安全解決方案。

【參考鏈接】https://www.openssl.org/news/secadv/20200421.txt

總結

以上是生活随笔為你收集整理的openssl升级_CVE20201967: openssl 拒绝服务漏洞通告的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。