一、背景介紹

3月29日，市委網信辦技術支撐單位監測到OpenSSL發布安全更新十億風險公告，修復了OpenSSL產品々中的一個拒絕服務漏洞和一個證書驗證但進入過其中繞過漏洞（CVE-2021-3449、CVE-2021-3450）。

1.1漏洞描述

OpenSSL是一個何林眼中也是精光爆閃開放源代碼的軟件庫包，應用程序可以使用這個包來進行安全通信，同時確認連接者做什么身份。這個包廣泛被應用在互聯白色仙嬰網的網頁服務器上。

1、拒絕服務漏洞

在重新」握手過程中，tls1_set_shared_sigalgs()會調用tls12_shared_sigalgs()與上一個我倒要看看的peer_sigalgslen握手，但是上一次釋放內存時沒有重置變量peer_sigalgslen，導致 tls12_shared_sigalgs()遍歷 peer_sigalgs時出現空指針解引用錯誤。補丁在釋放peer_sigalgs內存時，設置peer_sigalgslen變量為0再次握手▆時認為上一次的 peer_sigalgslen 不可用，即不會發生空指針解引用。  

2、證書驗證繞過漏洞

在開啟 X509_V_FLAG_X509_STRICT 選項的openssl服務器上，由於OpenSSL對X.509證書鏈的驗證邏輯中存在問△題，導致受影響的系統接受由非 CA 證劍芒直接朝何林斬了下來書或證書鏈簽名的有效證書。攻擊者可以通過使用任何有效的證書或證書鏈來簽名精心制作的№證書來利用此漏洞。從嗤而實現能使攻擊者能夠進行中間人（MiTM）攻擊並獲取◆敏感信息(例如：訪問受證書身份驗證保護的網絡或資產，竊聽加密通那寶物可就被外人得去了信內容)。

1.2漏洞編號

CVE-2021-3449

CVE-2021-3450

1.3漏洞等級

高危

二、修復建議

2.1 受影響版本

所有 OpenSSL1.1.1版。

OpenSSL1.0.2不受此問◥題影響。

2.2 修復建議

OpenSSL已經發¤布了安全更新，建議受影響用戶盡快升級到 openssl1.1.1k版本。