ZMX - IT技术交流论坛 - 无限Perfect，追求梦想 - itzmx.com

标题: OpenSSL今日爆出证书绕过漏洞和DDOS拒绝服务漏洞 [打印本页]

---

作者: 小樱    时间: 2021/3/29 18:53
标题: OpenSSL今日爆出证书绕过漏洞和DDOS拒绝服务漏洞
OpenSSL今日爆出证书绕过漏洞和DDOS拒绝服务漏洞

才距离2020年12月9日年爆出的CVE-2020-1971到现在，，，才多长时间，又出现2个新漏洞，当时漏洞详情
OpenSSL GENERAL_NAME_cmp 存在拒绝服务漏洞，当两个GENERAL_NAME都包含同一个EDIPARTYNAME时，由于GENERAL_NAME_cmp函数未能正确处理，从而导致空指针引用，并引起程序崩溃导致拒绝服务，会影响业务/功能正常运行。
影响版本
OpenSSL 1.1.1-1.1.1h
OpenSSL 1.0.2-1.0.2w

修复建议
将 OpenSSL 升级至1.1.1i版本
https://www.openssl.org/source/

参考链接
https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971
https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971

2021年3月29爆出最新的漏洞详情 CVE-2021-3449 和 CVE-2021-3450
https://www.openssl.org/news/vulnerabilities.html
https://ywnz.com/linuxaq/8950.html
https://github.com/terorie/cve-2021-3449

解答下就是会被当成DDOS攻击反射肉鸡，和绕过证书加密直接获得明文内容而已
还有可能引起发送hello到服务器的时候，服务器会直接崩溃，其它没什么毛病了

修复脚本如下
openssl version -a查看版本

1. yum -y install wget bzip2 make automake gcc gcc-c++ zlib-devel perl-devel perl-core
   
2. wget https://www.openssl.org/source/openssl-1.1.1k.tar.gz
   
3. tar -zxvf openssl-1.1.1k.tar.gz
   
4. cd openssl-1.1.1k
   
5. ./config shared zlib
   
6. make -j 4
   
7. make test
   
8. make install
   
9. rm -rf /usr/bin/openssl.OFF
   
10. mv /usr/bin/openssl /usr/bin/openssl.OFF
    
11. ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
    
12. ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
    
13. ln -s /usr/local/bin/openssl /usr/bin/openssl
    
14. ldconfig -v

复制代码

有可能遇到的问题
https://bbs.itzmx.com/thread-111124-1-1.html

虽然openssl好像用不到这两个库perl-devel perl-core，但是还是加上吧，没多少硬盘

---

作者: 不可名    时间: 2021/3/30 00:07

---

欢迎光临 ZMX - IT技术交流论坛 - 无限Perfect，追求梦想 - itzmx.com (https://bbs.itzmx.com/)

Powered by Discuz! X3.4