漏洞描述

OpenSSL是一(yī)個開(kāi)放(fàng)源代碼的軟件庫包，應用程序可以使用這個包來進行安全通信，避免竊聽(tīng)，同時确認另一(yī)端連接者的身份。這個包廣泛被應用在互聯網的網頁服務器上。2020年12月08日，OpenSSL 官方發布安全公告，披露 CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒絕服務漏洞。當兩個GENERAL_NAME都包含同一(yī)個EDIPARTYNAME時，由于GENERAL_NAME_cmp函數未能正确處理，從而導緻空指針引用，并可能導緻拒絕服務。

影響版本

OpenSSL 1.1.1 ～ 1.1.1h

OpenSSL 1.0.2 ～ 1.0.2w

安全版本

OpenSSL 1.1.1i

OpenSSL 1.0.2x

安全建議

将 OpenSSL 升級至最新版本。

相關鏈接

https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971

https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971