【漏洞预警-已验证】企业微信敏感信息泄露漏洞

赵建:谁在坐食“去中国化”的红利?

李双江痛批《罗刹海市》,刀郎作品被多平台下架

何谋保主持召开州委常委会(扩大)会议 专题传达学习建州70周年庆祝大会精神 安排部署我州贯彻落实工作

深圳市中级法院爆发大规模群体上访事件

生成图片,分享到微信朋友圈
自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

OpenSSL 修复可导致 DoS攻击的高危漏洞

Eduard Kovacs 代码卫士 2022-05-31
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
周二,OpenSSL 发布更新修复了一个可导致 DoS 攻击的高危漏洞。
OpenSSL Project 表示该漏洞编号为 CVE-2020-1967,它是存在于 SSL_check_chain 函数中的“分段错误”。
安全公告指出,“因对 ‘signature_algorithms_cert’ TLS 扩展的错误处理而引发的空解指针引用,会导致在 TLS 1.3 握手时或之后调用函数 SSL_check_chain() 的服务器或客户端应用崩溃。”另外,“如果从对等方接收到无效或无法识别的签名算法,则会发生崩溃。恶意对等方可在拒绝服务攻击中利用该漏洞。”
该漏洞影响 OpenSSL 版本 1.1.1d、1.1.1e 和1.1.1f,且已在版本 1.1.1g中修复。老旧版本 1.0.2和1.1.0不再接收安全更新,因此并不受该漏洞影响。
研究员 Bernd Edlinger 在4月7日将该漏洞告知 OpenSSL Project,他是通过最近推出的 GNU Compiler Collection(GCC) 静态代码分析器发现的。
这是2020年出现的首个影响 OpenSSL 的漏洞。自2014年爆发“心脏出血”漏洞后,OpenSSL 的安全性已得到提升。虽然在2014年爆发“心脏出血”漏洞至2016年年底期间,OpenSSL 被曝近12个严重和高危漏洞,但在2017年研究员仅发现1个高危漏洞,而在2018年和2019年,修复的所有问题均为中低危漏洞。

推荐阅读

BCS2019议题分享|开源软件安全实践与思考

每1000行代码有14个安全缺陷,开源软件的安全令人堪忧




原文链接

https://www.securityweek.com/high-severity-vulnerability-openssl-allows-dos-attacks



题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~


文章有问题?点此查看未经处理的缓存