溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這期內容當中小編將會給大家帶來有關怎么進行openssl 拒絕服務漏洞分析,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
2020年04月21日, 360CERT監測發現 openssl 官方發布了 TLS 1.3 組件拒絕服務漏洞 的風險通告,該漏洞編號為 CVE-2020-1967,漏洞等級:高危。
openssl 是一個開放源代碼的軟件庫包,應用程序可以使用這個包來進行安全通信。這個包廣泛被應用在互聯網的網頁服務器上。其主要庫是以C語言所寫成,實現了基本的加密功能,實現了SSL與TLS協議。openssl可以運行在OpenVMS、 Microsoft Windows以及絕大多數類Unix操作系統上(包括Solaris,Linux,MacOS與各種版本的開放源代碼BSD操作系統)。
TLS(Transport Layer Security) 是一種安全協議,目的是為互聯網通信提供安全及數據完整性保障。在瀏覽器、電子郵件、即時通信、VoIP、網絡傳真等應用程序中都廣泛支持這個協議。該協議當前已成為互聯網上保密通信的工業標準。
openssl 存在 拒絕服務漏洞,攻擊者 通過 發送特制的請求包,可以造成 目標主機服務崩潰或拒絕服務
對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。
360CERT對該漏洞的評定結果如下
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 高危 |
| 影響面 | 廣泛 |
官方描述
服務端或客戶端程序在 SSL_check_chain() 函數處理TLS 1.3握手前后。可能會觸發空指針解引用,導致錯誤處理 tls 擴展 signature_algorithms_cert。當服務端或客戶端程序收到一個無效或無法識別的簽名算法時可能會引發崩潰或拒絕服務漏洞。
openssl:1.1.1d
openssl:1.1.1e
openssl:1.1.1f
升級到 1.1.1g 版本,下載地址為:
https://www.openssl.org/source/
1.0.2及之前版本的用戶不受該漏洞影響,但此類版本已經失去支持,建議用戶升級到 1.1.1g
360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現 openssl 在全球均有廣泛使用,具體分布如下圖所示。
360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類 漏洞 進行監測,請用戶聯系相關產品區域負責人獲取對應產品。
上述就是小編為大家分享的怎么進行openssl 拒絕服務漏洞分析了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
