鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-1971 | OpenSSL拒绝效劳误差通告

宣布时间 2020-12-09

0x00 误差概述

CVE ID

CVE-2020-1971

时间

2020-12-09

类型

拒绝效劳

等级

高危

远程使用

是

影响规模

OpenSSL 1.1.1 - 1.1.1h

OpenSSL 1.0.2 - 1.0.2w

0x01 误差详情

OpenSSL是一个开放源代码的软件库包，，，，，，，应用程序可以使它来举行清静通讯，，，，，，，以阻止被窃听，，，，，，，同时它能够确认另一端毗连者的身份，，，，，，，被普遍被应用在互联网的网页效劳器上。。。。。

2020年12月08日，，，，，，，OpenSSL官方宣布清静通告，，，，，，，OpenSSL 中保存一个拒绝效劳误差（CVE-2020-1971）。。。。。

当OpenSSL 使用的GENERAL_NAME_cmp函数和GENERAL_NAME 函数都包括一个EDIPARTYNAME时，，，，，，，由于GENERAL_NAME_cmp函数未能准确处置惩罚，，，，，，，将导致空指针引用。。。。。攻击者可以通过结构名堂过失的EDIPARTYNAME来使用此误差，，，，，，，OpenSSL的剖析器将接受该名堂，，，，，，，最终可能导致拒绝效劳。。。。。

OpenSSL使用的GENERAL_NAME_cmp函数有两个作用：

较量可用的CRL和嵌入在X509证书中的CRL分发点之间的CRL分发点名称；；；；

验证时间戳响应令牌署名者是否与时间戳授权名称匹配（通过API函数TS_RESP_verify_response和TS_RESP_verify_token）。。。。。

0x02 处置惩罚建议

现在OpenSSL已经修复了此误差，，，，，，，建议升级至最新版本。。。。。

OpenSSL 1.1.1i

OpenSSL 1.0.2x

（注：自2020年1月1日起，，，，，，，OpenSSL 1.0.2不再受支持，，，，，，，并且官方不再吸收更新，，，，，，，建议升级至OpenSSL 1.1.1i）

下载链接：

https://www.openssl.org/source/openssl-1.1.1i.tar.gz

0x03 参考链接

https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971

https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971

https://www.openssl.org/source/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1971

0x04 时间线

2020-12-08 OpenSSL宣布清静通告

2020-12-09 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】