鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

OpenSSL CA证书绕过误差（CVE-2021-3450）

宣布时间 2021-03-26

0x00 误差概述

CVE ID	CVE-2021-3450	时间	2021-03-26
类型		等级	高危
远程使用	是	影响规模
PoC/EXP	未果真	在野使用

0x01 误差详情

OpenSSL是一个开放源代码的软件库包，，，，，，应用程序可以使用这个包来举行清静通讯，，，，，，阻止窃听，，，，，，同时确认另一端毗连者的身份，，，，，，它被普遍应用在互联网的网页效劳器上。。。

2021年03月25日，，，，，，OpenSSL项目宣布清静通告，，，，，，果真了OpenSSL产品中的一个拒绝效劳误差和一个证书验证绕过误差（CVE-2021-3449和CVE-2021-3450）。。。

OpenSSL 拒绝效劳误差（CVE-2021-3449）

该误差是由于NULL指针作废引用导致的拒绝效劳(DoS)误差，，，，，，仅影响OpenSSL效劳器实例，，，，，，而不影响客户端。。。

若是从客户端发送了恶意的重新协商ClientHello新闻，，，，，，则OpenSSL TLS效劳器可能会瓦解。。。若是TLSv1.2重新协商ClientHello省略了signature_algorithms扩展名（在最初的ClientHello中保存），，，，，，但包括了signature_algorithms_cert扩展名，，，，，，则将导致NULL指针作废引用，，，，，，从而导致瓦解和拒绝效劳攻击。。。

以下是GitHub上对该误差的修复：

影响规模

运行带有TLS 1.2并启用了重新协商（默认设置）的OpenSSL 1.1.1

OpenSSL CA证书验证绕过误差（CVE-2021-3450）

该误差是证书揭晓机构（CA）证书验证绕过误差，，，，，，影响效劳器和客户端实例。。。

X509_V_FLAG_X509_STRICT标记可对证书链中保存的证书举行其它清静检查，，，，，，默认情形下未设置。。。从OpenSSL版本1.1.1h最先，，，，，，添加了一项检查以榨取在链中显式编码椭圆曲线参数的证书，，，，，，这是附加的严酷检查。。。执行此检查时泛起一个过失，，，，，，这意味着先前检查的效果会被笼罩，，，，，，该检查用于确认链中的证书是有用的CA证书。。。

影响规模

OpenSSL 1.1.1h及更高版本

别的，，，，，，今年2月，，，，，，OpenSSL 项目也宣布了清静更新，，，，，，修复了OpenSSL中的2个拒绝效劳（DoS）误差和1个不准确的SSLv2回滚保�；；；；の蟛�。。。

0x02 处置惩罚建议

现在官方已修复了这两个误差，，，，，，建议实时更新至OpenSSL 1.1.1k（OpenSSL 1.0.2不受这两个误差影响）。。。

下载链接：

https://openssl.en.softonic.com/

0x03 参考链接

https://www.openssl.org/news/secadv/20210325.txt

https://www.bleepingcomputer.com/news/security/openssl-fixes-severe-dos-certificate-validation-vulnerabilities/

https://securityaffairs.co/wordpress/115968/security/openssl-flaws-2.html?

https://github.com/openssl/openssl/commit/2a40b7bc7b94dd7de897a74571e7024f0cf0d63b

0x04 时间线

2021-03-25 OpenSSL宣布清静通告

2021-03-26 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】