OpenSSL 修复三个新漏洞
编译:奇安信代码卫士团队
其中最重要的漏洞被评为“中危“级别,编号为 CVE-2021-23841,是一个 NULL 指针引用问题,可导致崩溃和 DoS 条件。该漏洞和函数 (X509_issuer_and_serial_hash) 有关,不过 OpenSSL 从未直接调用该函数,意味着它仅影响直接使用该函数(证书源自不受信任来源)的应用程序。
谷歌 Project Zero 团队的安全研究员 Tavis Ormandy 将缺陷告知 OpenSSL 开发人员,后者在 OpenSSL 1.1.1j中修复。版本1.1.1i和更早版本受影响。
OpenSSL 1.1.1j 同时修复了可导致崩溃后果的一个低危的整数溢出,编号为 CVE-2021-23840,是由 Paul Kehrer 发现的。
Trustwave 公司的安全研究员发现了另外一个低危漏洞 CVE-2021-23939。使用 OpenSSL 1.0.2 的服务器易受 SSL 版本回滚攻击影响。然而,只有某些配置易受攻击,OpenSSL 1.1.1 不受影响。该漏洞已在版本1.0.2y 中修复。不过由于 OpenSSL 1.0.2 不受支持,因此该更新仅适用于付费用户。
自2014年“心脏出血”漏洞爆发后,OpenSSL 的安全性就备受关注。2020年仅修复3个漏洞,其中2个可用于发动 DoS 攻击,为“高危”漏洞。2018年和2019年并未出现任何高危漏洞。
、
“心脏出血”后,OpenSSL 起死回生靠什么?
https://www.securityweek.com/three-new-vulnerabilities-patched-openssl
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。