這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)怎么進(jìn)行openssl 拒絕服務(wù)漏洞分析,文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述�,閱讀完這篇文章希望大家可以有所收獲。
成都創(chuàng)新互聯(lián)公司是一家專注于成都做網(wǎng)站����、成都網(wǎng)站制作與策劃設(shè)計(jì),穆棱網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)十余年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:穆棱等地區(qū)。穆棱做網(wǎng)站價(jià)格咨詢:18980820575
0x00 漏洞背景
2020年04月21日���, 360CERT監(jiān)測發(fā)現(xiàn) openssl 官方發(fā)布了 TLS 1.3 組件拒絕服務(wù)漏洞 的風(fēng)險(xiǎn)通告�����,該漏洞編號為 CVE-2020-1967��,漏洞等級:高危��。
openssl 是一個(gè)開放源代碼的軟件庫包����,應(yīng)用程序可以使用這個(gè)包來進(jìn)行安全通信�。這個(gè)包廣泛被應(yīng)用在互聯(lián)網(wǎng)的網(wǎng)頁服務(wù)器上����。其主要庫是以C語言所寫成,實(shí)現(xiàn)了基本的加密功能�,實(shí)現(xiàn)了SSL與TLS協(xié)議。openssl可以運(yùn)行在OpenVMS�����、 Microsoft Windows以及絕大多數(shù)類Unix操作系統(tǒng)上(包括Solaris,Linux�����,MacOS與各種版本的開放源代碼BSD操作系統(tǒng))�����。
TLS(Transport Layer Security) 是一種安全協(xié)議��,目的是為互聯(lián)網(wǎng)通信提供安全及數(shù)據(jù)完整性保障�����。在瀏覽器��、電子郵件�、即時(shí)通信、VoIP�����、網(wǎng)絡(luò)傳真等應(yīng)用程序中都廣泛支持這個(gè)協(xié)議。該協(xié)議當(dāng)前已成為互聯(lián)網(wǎng)上保密通信的工業(yè)標(biāo)準(zhǔn)���。
openssl 存在 拒絕服務(wù)漏洞����,攻擊者 通過 發(fā)送特制的請求包�,可以造成 目標(biāo)主機(jī)服務(wù)崩潰或拒絕服務(wù)
對此,360CERT建議廣大用戶及時(shí)安裝最新補(bǔ)丁����,做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊����。
0x01 風(fēng)險(xiǎn)等級
360CERT對該漏洞的評定結(jié)果如下
0x02 漏洞詳情
官方描述
服務(wù)端或客戶端程序在 SSL_check_chain() 函數(shù)處理TLS 1.3握手前后?���?赡軙?huì)觸發(fā)空指針解引用,導(dǎo)致錯(cuò)誤處理 tls 擴(kuò)展 signature_algorithms_cert��。當(dāng)服務(wù)端或客戶端程序收到一個(gè)無效或無法識別的簽名算法時(shí)可能會(huì)引發(fā)崩潰或拒絕服務(wù)漏洞��。
0x03 影響版本
openssl:1.1.1d
openssl:1.1.1e
openssl:1.1.1f
0x04 修復(fù)建議
通用修補(bǔ)建議:
升級到 1.1.1g 版本��,下載地址為:
https://www.openssl.org/source/
1.0.2及之前版本的用戶不受該漏洞影響�����,但此類版本已經(jīng)失去支持���,建議用戶升級到 1.1.1g
0x05 相關(guān)空間測繪數(shù)據(jù)
360安全大腦-Quake網(wǎng)絡(luò)空間測繪系統(tǒng)通過對全網(wǎng)資產(chǎn)測繪���,發(fā)現(xiàn) openssl 在全球均有廣泛使用,具體分布如下圖所示����。
0x06 產(chǎn)品側(cè)解決方案
360城市級網(wǎng)絡(luò)安全監(jiān)測服務(wù)
360安全大腦的QUAKE資產(chǎn)測繪平臺(tái)通過資產(chǎn)測繪技術(shù)手段,對該類 漏洞 進(jìn)行監(jiān)測��,請用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人獲取對應(yīng)產(chǎn)品�。
上述就是小編為大家分享的怎么進(jìn)行openssl 拒絕服務(wù)漏洞分析了,如果剛好有類似的疑惑����,不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識����,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道�。
網(wǎng)站名稱:怎么進(jìn)行openssl拒絕服務(wù)漏洞分析
網(wǎng)站URL:
http://weahome.cn/article/jchgdh.html
重慶分公司
重慶分公司
