2021-03-26 10:36  报告编号:B6-2021-032601 报告来源:360CERT 报告作者:360CERT 更新日期:2021-03-26 0x01漏洞简述2021年03月26日,360CERT监测发现 OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,同时确认连接者身份。这个包广泛被应用在互联网的网页服务器上。 例如: 对此,360CERT建议广大用户及时将 0x02风险等级360CERT对该漏洞的评定结果如下
0x03漏洞详情CVE-2021-3450: 证书校验漏洞CVE: CVE-2021-3450 组件: openssl 漏洞类型: 证书校验 影响: 通信、流量劫持 简述: 在开启 X509_V_FLAG_X509_STRICT 选项的 openssl 服务器上,由于OpenSSL对X.509证书链的验证逻辑中存在问题,导致受影响的系统接受由非CA证书或证书链签名的有效证书。攻击者可以通过使用任何有效的证书或证书链来签名精心制作的证书来利用此漏洞。成功的利用可能使攻击者能够进行中间人(MiTM)攻击并获取敏感信息(例如:访问受证书身份验证保护的网络或资产,窃听加密通信内容)。 CVE-2021-3449: 拒绝服务漏洞CVE: CVE-2021-3449 组件: openssl 漏洞类型: 拒绝服务 影响: 服务宕机 简述: OpenSSL TLSv1.2 重新协商选项(默认开启)中存在一处空指针解引用,并导致拒绝服务。 0x04影响版本- 0x05修复建议通用修补建议升级到 openssl 临时修补建议针对 CVE-2021-3449 漏洞可以通过如下方式进行自我检测。 openssl s_client -tls1_2 -connect your_domain:443 [按下 R键] 查看关键词 若出现 |
