漏洞情報 | OpenSSL多個安全漏洞

0x01 漏洞描述

OpenSSL是 OpenSSL團隊的一個開源的能夠實現安全套接層（SSLv2/v3）和安全傳輸層（TLSv1）協議的通用加密庫。該產品支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等。

360漏洞云監測到OpenSSL今日發布安全通告，修復了OpenSSL中的一個緩沖區溢出漏洞（CVE-2021-3711）和一個拒絕服務漏洞（CVE-2021-3712）。

• CVE-2021-3711
• 高危
• 該漏洞源于SM2解密代碼中EVP_PKEY_decrypt()的邊界錯誤，遠程攻擊者可通過發送特制的用于解密的SM2內容，觸發緩沖區溢出最多62個字節，從而改變進程行為或導致應用崩潰，實現在目標系統上執行任意代碼。
• CVE-2021-3712
• 中危
• 該漏洞源于處理與字符串NUL結束的混淆有關的ASN.1字符串時的邊界條件，遠程攻擊者可通過發送特制的數據，觸發越界讀取錯誤，從而讀取內存內容或執行拒絕服務攻擊。

0x02 危害等級

高危

0x03 影響版本

• CVE-2021-3711

OpenSSL <= 1.1.1k

• CVE-2021-3712

OpenSSL <= 1.1.1k

OpenSSL <= 1.0.2y

0x04 修復版本

• CVE-2021-3711

OpenSSL1.1.1l

• CVE-2021-3712

OpenSSL1.1.1l

OpenSSL 1.0.2za

0x05 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本。

0x06 獲取本情報的更多詳情

建議您訂閱360漏洞云-漏洞情報服務，獲取更多漏洞情報詳情以及處置建議，讓您的企業遠離漏洞威脅。

電話：010-52447660

郵箱：loudongyun@#

網址：https://loudongyun.#

360漏洞云介紹

360安全大腦漏洞云以技術為驅動，以安全專家為核心，圍繞漏洞生態體系打造集漏洞監測、漏洞收集、漏洞挖掘、漏洞存儲、漏洞管理、專家響應、漏洞情報預警、安全服務定制化于一體的漏洞安全一站式服務，幫助客戶防患于未然，在降低資產風險的同時，大幅提升客戶對漏洞感知、預警、分析等響應能力，為國家、政企客戶、用戶搶占風險預警處置先機，提升網絡安全主動防護能力。