[漏洞預警] OpenSSL GENERAL_NAME_cmp 拒絕服務漏洞(CVE-2020-1971)
X0_0X2020-12-09 11:39:42
2020年12月08日,阿里云應急響應中心監測到OpenSSL官方發布安全公告,披露 CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒絕服務漏洞
漏洞描述
OpenSSL是一個開放源代碼的軟件庫包,應用程序可以使用這個包來進行安全通信,避免竊聽,同時確認另一端連接者的身份。這個包廣泛被應用在互聯網的網頁服務器上。2020年12月08日,OpenSSL官方發布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp 拒絕服務漏洞。當兩個GENERAL_NAME都包含同一個EDIPARTYNAME時,由于GENERAL_NAME_cmp函數未能正確處理,從而導致空指針引用,并可能導致拒絕服務。阿里云應急響應中心提醒OpenSSL用戶盡快采取安全措施阻止漏洞攻擊。
影響版本
-
OpenSSL 1.1.1 ~ 1.1.1h
-
OpenSSL 1.0.2 ~ 1.0.2w
安全版本
-
OpenSSL 1.1.1i
-
OpenSSL 1.0.2x
安全建議
將 OpenSSL 升級至最新版本。
相關鏈接
X0_0X
暫無描述