漏洞描述
OpenSSL是一(yī)個開(kāi)放(fàng)源代碼的軟件庫包,應用程序可以使用這個包來進行安全通信,避免竊聽(tīng),同時确認另一(yī)端連接者的身份。這個包廣泛被應用在互聯網的網頁服務器上。2020年12月08日,OpenSSL 官方發布安全公告,披露 CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒絕服務漏洞。當兩個GENERAL_NAME都包含同一(yī)個EDIPARTYNAME時,由于GENERAL_NAME_cmp函數未能正确處理,從而導緻空指針引用,并可能導緻拒絕服務。
影響版本
OpenSSL 1.1.1 ~ 1.1.1h
OpenSSL 1.0.2 ~ 1.0.2w
安全版本
OpenSSL 1.1.1i
OpenSSL 1.0.2x
安全建議
将 OpenSSL 升級至最新版本。
相關鏈接
https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971
https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971
下(xià)一(yī)篇 [漏洞公告] Oracle 發布2021年1月關鍵補丁更新,修複多個嚴重漏洞
上一(yī)篇: [漏洞公告] Apache Struts遠程代碼執行漏洞