OpenSSL修复了高度严重性漏洞,允许黑客崩溃服务器

2021-03-26 20:58:27

OpenSSL是用于实现网站和电子邮件加密的最广泛使用的软件库,已修补高度严重性的漏洞,使黑客可以容易地完全关闭大量服务器。

OpenSSL提供了实现传输层安全协议的时间测试的加密功能,将继承人固定加密套接字层,该层加密在Internet服务器和最终用户客户端之间流动的数据。人们开发使用TLS依赖OpenSSL以节省时间并避免在非函数记录器构建使用复杂加密的应用程序时常用的编程错误。

当黑客开始在开放源代码库中开始利用了允许的源代码库中的关键漏洞,在2014年在2014年开始,互联网安全性的关键角色在允许他们窃取了世界各地的服务器中窃取了加密密钥,客户信息和其他敏感数据的全部漏洞中,进入了2014年。随着安全缺陷被称为安全缺陷,证明了一系列错误的代码,可以将银行,新闻网站,律师事务所等的安全性展示了一系列有关的守则。周四,OpenSSL维护者披露和修补了一个漏洞,导致服务器在从未经认证的最终用户收到恶意制作的请求时崩溃。 CVE-2021-3449是跟踪拒绝服务的漏洞,是NULL POINT DEREIFED错误的结果。加密工程师Filippo valsorda在推特上说,缺陷可能已经比现在发现了。

“无论如何,听起来你今天可以在互联网上崩溃大多数openssl服务器,”他补充道。

CVE-2021-3449看起来可以很容易地发现,如果有人弄清楚如何搞砸重新发作,但重新谈判是悲伤的。无论如何,听起来您今天可以在互联网上崩溃大多数Openssl服务器。

- Filippo Valsorda💚🤍❤️💚🤍❤️(@Filosottile)3月25日,2021年3月25日

黑客可以通过在初始握手期间发送服务器在最终用户和服务器之间建立安全连接的初始握手期间发出恶意形成的重新核点请求来利用漏洞。

“如果向客户端发送恶意制作的重新标识ClientHello消息,则OpenSSL TLS服务器可能会崩溃,”维护者在咨询中写道。 “如果TLSv1.2重新标识ClientHello省略signature_algorithms扩展(在初始ClientHello中存在的位置),但包括一个签名_algorithms_cert扩展,则将导致崩溃和拒绝服务攻击。”

维护人员评价了严重程度。研究人员报告了3月17日openssl的脆弱性。诺基亚开发商PeterKästle和Samuel Sapalski提供了解决方案。

OpenSSL还修复了一个单独的漏洞,它在边缘案例中阻止应用程序检测和拒绝由浏览器可信证书颁发机构不数字签名的TLS证书。跟踪为CVE-2021-3450的漏洞涉及在代码和多个参数中找到的X509_V_FLAG_X509_STRICT标志之间的相互作用。

如果已配置“目的”,则会有一个后续机会检查证书是有效的CA. Libcrypto实现的所有命名为“目的”值执行此检查。因此,如果使用目的,即使使用严格的标志,也仍将拒绝证书链。默认情况下,在Libssl客户端和服务器证书验证例程中设置了一个目的,但它可以被应用程序覆盖或删除。

为了受到影响,必须明确地将应用程序明确设置x509_v_flag_x509_strict验证标志,并不为证书验证设置目的,或者在TLS客户端或服务器应用程序的情况下,覆盖默认目的。

openssl版本1.1.1h和newer易受攻击。 OpenSSL 1.0.2不会受到此问题的影响。 Akamai研究人员Xiang Ding和Benjamin Kaduk分别发现并报告了该虫子。它是TomášMráz,Red Hat的主要软件工程师和Openssl技术委员会成员的补丁。

使用漏洞的OpenSSL版本的应用程序应尽快升级到openssl 1.1.1k。