漏洞描述

OpenSSL是一個(gè)開放源代碼的軟件庫(kù)包，應(yīng)用程序可以使用這個(gè)包來(lái)進(jìn)行安全通信，避免竊聽，同時(shí)確認(rèn)另一端連接者的身份。這個(gè)包廣泛被應(yīng)用在互聯(lián)網(wǎng)的網(wǎng)頁(yè)服務(wù)器上。2020年12月08日，OpenSSL 官方發(fā)布安全公告，披露 CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒絕服務(wù)漏洞。當(dāng)兩個(gè)GENERAL_NAME都包含同一個(gè)EDIPARTYNAME時(shí)，由于GENERAL_NAME_cmp函數(shù)未能正確處理，從而導(dǎo)致空指針引用，并可能導(dǎo)致拒絕服務(wù)。

影響版本

OpenSSL 1.1.1 ～ 1.1.1h

OpenSSL 1.0.2 ～ 1.0.2w

安全版本

OpenSSL 1.1.1i

OpenSSL 1.0.2x

安全建議

將 OpenSSL 升級(jí)至最新版本。

相關(guān)鏈接

https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971

https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971