• <code id="aw09e"><small id="aw09e"><track id="aw09e"></track></small></code>
  • <center id="aw09e"><em id="aw09e"></em></center>
    1. <code id="aw09e"><em id="aw09e"></em></code>
      <th id="aw09e"></th>
      <object id="aw09e"><option id="aw09e"><mark id="aw09e"></mark></option></object>

      1. <object id="aw09e"><nobr id="aw09e"></nobr></object><big id="aw09e"><em id="aw09e"></em></big>
        <code id="aw09e"></code>

      2. <pre id="aw09e"></pre>

        CVE-2020-1971:OpenSSL 拒絕服務漏洞通告

        時間:2020-12-9

        0x01 漏洞簡述

        2020年12月09日,360CERT監測發現?openssl?發布了?openssl 拒絕服務漏洞?的風險通告,該漏洞編號為?CVE-2020-1971?,漏洞等級:?高危?,漏洞評分:?7.5?。

        OpenSSL?在處理?EDIPartyName?(X.509 GeneralName類型標識)的時候存在一處空指針解引用,并引起程序崩潰導致拒絕服務。

        遠程攻擊者通過構造特制的證書驗證過程觸發該漏洞,并導致服務端拒絕服務,影響?業務/功能正常運行?。

        對此,360CERT建議廣大用戶及時將?openssl?升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。

        0x02 風險等級

        360CERT對該漏洞的評定結果如下

        評定方式

        等級

        威脅等級

        高危

        影響面

        廣泛

        360CERT評分

        7.5

        0x03 漏洞詳情

        CVE-2020-1971: 拒絕服務漏洞

        OpenSSL?在處理?EDIPartyName?(X.509 GeneralName類型)時,使用的函數?GENERAL_NAME_cmp?中存在一處空指針解引用。當使用該函數進行比較的兩個參數都包含?EDIPartyName?時觸發該漏洞。

        GENERAL_NAME_cmp?函數在OpenSSL中主要作用為以下兩點

        1. 比較X.509證書內的證書吊銷列表和證書吊銷分發節點中名稱

        2. 驗證響應令牌時間戳的簽名者名稱是否和時間戳許可者的名稱一致

        0x04 影響版本

        –?openssl:openssl?: 1.0.2/1.1.1

        0x05 修復建議

        通用修補建議

        將?OpenSSL?升級到?1.1.1i

        目前受到支持的?OpenSSL?版本只有?1.1.1?和?1.0.2?。同時?1.0.2?目前已經停止公開版本的支持,建議所有普通用戶使用?1.1.1i

        1.1.1i下載鏈接

        0x06 空間測繪數據

        360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現使用?https?的服務器具體分布如下圖所示。

        0x07 時間線

        2020-12-08?OpenSSL發布通告

        2020-12-09?360CERT發布通告

        0x08 參考鏈接

        OpenSSL Security Advisory 08 December 2020

        0x09 特制報告下載鏈接

        一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。

        用戶可直接通過以下鏈接進行特制報告的下載。

        CVE-2020-1971: OpenSSL 拒絕服務漏洞通告

        本文由360CERT安全通告原創發布
        https://www.anquanke.com/post/id/224522

        美国十次,欧美av,欧美情色,美国十次啦导航,美国十次啦超线导航_美国十次啦av导航