OpenSSL Project 最新高危漏洞（CVE-2021-23841）補丁發布

OpenSSL Project發布了安全補丁程序，以解決三個漏洞，兩個拒絕服務（DoS）漏洞以及不正確的SSLv2回滾保護問題。

第一個漏洞跟蹤為CVE-2021-23841，是一個NULL指針取消引用問題，可以利用該問題導致崩潰并觸發DoS條件。該安全公告指出，OpenSSL本身從未直接調用X509_issuer_and_serial_hash函數，這意味著它僅影響在管理從不受信任來源獲得的證書時直接調用該函數的應用程序。

“OpenSSL公共API函數X509_issuer_and_serial_hash（）嘗試根據X509證書中包含的頒發者和序列號數據創建唯一的哈希值。但是，它無法正確處理解析頒發者字段時可能發生的任何錯誤（如果惡意構造了頒發者字段，則可能會發生）。隨后可能會導致NULL指針取消引用和崩潰，從而導致潛在的拒絕服務攻擊。” 閱讀咨詢.

該問題的嚴重性被評為“中等”，它影響OpenSSL 1.1.1i版及更低版本。用戶應升級到版本1.1.1j。OpenSSL 1.0.2x及更低版本也受此問題影響。

該漏洞由著名的Google Project Zero專家Tavis Ormandy于2020年12月15日報告，Matt Caswell修復了此漏洞。

OpenSSL還解決了CipherUpdate中CVE-2021-23840的一個低嚴重性整數溢出漏洞，該漏洞可能被利用來導致崩潰。

Paul Kehrer識別了此漏洞，追蹤為CVE-2021-23840。

“在某些情況下，如果輸入長度接近平臺上整數的最大允許長度，則調用EVP_CipherUpdate，EVP_EncryptUpdate和EVP_DecryptUpdate可能會使輸出長度參數溢出。在這種情況下，函數調用的返回值將為1（表示成功），但輸出長度值將為負。這可能導致應用程序行為不正確或崩潰。” 閱讀建議。*

1.1.1i及以下版本以及1.0.2x及以下版本均受此問題影響。

第三個問題是嚴重性很低的漏洞（跟蹤為CVE-2021-23839），它是不正確的SSLv2回滾保護。

Trustwave的D.Katz和Joel Luellwitz于2021年1月21日將該漏洞報告給OpenSSL Project。

此問題影響使用OpenSSL 1.0.2的服務器，該服務器容易受到SSL版本回滾攻擊。

2010年，Open SSL項目解決了三個漏洞，其中包括兩個嚴重等級為DDoS的問題。