近日,OpenSSL 项目发布安全公告,披露了一个影响 OpenSSL v1.1.1d、1.1.1e 和 1.1.1f 的高危漏洞 (CVE-2020-1967)。该漏洞可能被攻击者用于发动拒绝服务攻击(DDoS攻击)。根据官方公开信息显示,在 TLS 1.3 握手期间或之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会发生崩溃,原因是不正确处理 signature_algorithms_cert 扩展导致的空指针引用。

日,OpenSSL 项目发布安全公告,披露了一个影响 OpenSSL v1.1.1d、1.1.1e 和 1.1.1f 的高危漏洞 (CVE-2020-1967)。该漏洞可能被攻击者用于发动拒绝服务攻击(DDoS攻击)。根据官方公开信息显示,在 TLS 1.3 握手期间或之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会发生崩溃,原因是不正确处理 signature_algorithms_cert 扩展导致的空指针引用。

打开网易新闻 查看精彩图片

OpenSSL 称,该漏洞由 Bernd Edlinger 通过 GCC 中的新静态分析通道 -fanalyzer 发现,并已于2020年4月7日向 OpenSSL 报告。对于受影响的 OpenSSL 1.1.1(1.1.1d,1.1.1e 和 1.1.1f)用户,建议尽可能快地升级到 1.1.1g,避免DDoS攻击。同时该报告指出OpenSSL 1.1.1d 之前的版本不受此漏洞影响,而OpenSSL 1.1.0、OpenSSL 1.0.2这些版本未受影响,但这些版本已过期,不再更新,对于这么过期的版本的用户硬升级到OpenSSL 1.1.1。了解更多: DDoS高防服务器-骨干网带宽,T级攻击防御,抵御DDoS、CC攻击!

打开网易新闻 查看精彩图片

有关OpenSSL严重性分类的详细信息,请参见:https://www.openssl.org/policies/secpolicy.html