潮汕职业技术学院网络与信息化中心移动版

 

    概述   

  

近日，我中心所属网络安全威胁数据联盟工作发现OpenSSL项目发布官方安全公告称OpenSSL存在两个高风险漏洞，漏洞编号分别为（CVE-2021-3449、CVE-2021-3450），可被攻击者利用漏洞导致拒绝服务和中间人攻击。

 

据悉，OpenSSL 是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连线者的身份，提供了久经考验的加密功能，是被许多网站和加密电子邮件服务提供商所广泛采纳的软件库。

 

 

漏洞详情

 

1、CVE-2021-3449 拒绝服务漏洞

 

该漏洞是由于NULL指针取消引用导致的拒绝服务(DoS)漏洞，仅影响OpenSSL服务器实例，而不影响客户端。

 

受影响的服务器可能在收到未经验证的最终用户恶意请求时发生崩溃。

 

受影响版本：

此问题影响所有OpenSSL 1.1.1版本

OpenSSL 1.0.2不受影响

 

2、CVE-2021-3450 CA证书绕过漏洞

该漏洞是证书颁发机构（CA）证书验证绕过漏洞，影响服务器和客户端实例。

攻击者可以通过使用任何有效的证书或证书链来签名精心制作的证书来利用此漏洞，成功利用漏洞可以实现中间人（MiTM）攻击并获取敏感信息。(例如：访问受证书身份验证保护的网络或资产，窃听加密通信内容，或诱骗受害人访问钓鱼网站)。

受影响版本：

OpenSSL 1.1.1h及更高版本受影响

OpenSSL 1.0.2不受影响

 

    解决方案   

1、进行 OpenSSL 服务器版本的检查

2、升级 OpenSSL 的版本到OpenSSL 1.1.1k

下载链接：

https://openssl.en.softonic.com/

参考链接：

https://www.openssl.org/news/secadv/20210325.txt

 

 

    结语   

 

鉴于OpenSSL被广泛应用于互联网的网页服务器上实现安全通信，已是互联网最重要的基础设施之一，因此漏洞影响范围大，潜在危害程度高。建议各地重点行业部门、企业单位尽快自查OpenSSL使用情况，及时升级至安全版本，堵塞漏洞，消除安全隐患，以防遭受攻击。

来源：广东省网络安全应急响应中心