首頁 > 安全研究 > 安全通報 > 安全通告

OpenSSL CA證書繞過漏洞(CVE-2021-3450)

發布時間 2021-03-26

0x00 漏洞概述

CVE  ID

CVE-2021-3450

時    間

2021-03-26

類   型


等    級

高危

遠程利用

影響范圍


PoC/EXP

未公開

在野利用


 

0x01 漏洞詳情

image.png

 

OpenSSL是一個開放源代碼的軟件庫包,應用程序可以使用這個包來進行安全通信,避免竊聽,同時確認另一端連接者的身份,它被廣泛應用在互聯網的網頁服務器上。

2021年03月25日,OpenSSL項目發布安全公告,公開了OpenSSL產品中的一個拒絕服務漏洞和一個證書驗證繞過漏洞(CVE-2021-3449和CVE-2021-3450)。

 

OpenSSL 拒絕服務漏洞(CVE-2021-3449)

該漏洞是由于NULL指針取消引用導致的拒絕服務(DoS)漏洞,僅影響OpenSSL服務器實例,而不影響客戶端。

如果從客戶端發送了惡意的重新協商ClientHello消息,則OpenSSL TLS服務器可能會崩潰。如果TLSv1.2重新協商ClientHello省略了signature_algorithms擴展名(在最初的ClientHello中存在),但包括了signature_algorithms_cert擴展名,則將導致NULL指針取消引用,從而導致崩潰和拒絕服務攻擊。

以下是GitHub上對該漏洞的修復:

image.png


影響范圍

運行帶有TLS 1.2并啟用了重新協商(默認配置)的OpenSSL 1.1.1

 

OpenSSL CA證書驗證繞過漏洞(CVE-2021-3450)

該漏洞是證書頒發機構(CA)證書驗證繞過漏洞,影響服務器和客戶端實例。

X509_V_FLAG_X509_STRICT標志可對證書鏈中存在的證書進行其它安全檢查,默認情況下未設置。從OpenSSL版本1.1.1h開始,添加了一項檢查以禁止在鏈中顯式編碼橢圓曲線參數的證書,這是附加的嚴格檢查。執行此檢查時出現一個錯誤,這意味著先前檢查的結果會被覆蓋,該檢查用于確認鏈中的證書是有效的CA證書。

影響范圍

OpenSSL 1.1.1h及更高版本

 

此外,今年2月,OpenSSL 項目也發布了安全更新,修復了OpenSSL中的2個拒絕服務(DoS)漏洞和1個不正確的SSLv2回滾保護漏洞。

 

0x02 處置建議

目前官方已修復了這兩個漏洞,建議及時更新至OpenSSL 1.1.1k(OpenSSL 1.0.2不受這兩個漏洞影響)。

下載鏈接:

https://openssl.en.softonic.com/


0x03 參考鏈接

https://www.openssl.org/news/secadv/20210325.txt

https://www.bleepingcomputer.com/news/security/openssl-fixes-severe-dos-certificate-validation-vulnerabilities/

https://securityaffairs.co/wordpress/115968/security/openssl-flaws-2.html?

https://github.com/openssl/openssl/commit/2a40b7bc7b94dd7de897a74571e7024f0cf0d63b

 

0x04 時間線

2021-03-25  OpenSSL發布安全公告

2021-03-26  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇