当前位置:首页 > 漏洞预警 > 正文

OpenSSL两个缓冲区溢出漏洞预警

发布时间:2021-08-25 23:43:30,来源:腾讯云计算(北京)有限责任公司

      一、 基本情况

8月24日,OpenSSL发布安全更新公告,修复了OpenSSL两个缓冲区溢出漏洞,相关漏洞CVE编号:CVE-2021-3711、CVE-2021-3712。攻击者可利用这些漏洞在目标系统上执行任意代码或导致拒绝服务。目前厂商已发布升级修复漏洞。建议受影响用户及时更新至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞描述

OpenSSL是Openssl团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。

1.CVE-2021-3711:缓冲区溢出漏洞

该漏洞是OpenSSL在解密SM2时造成的缓冲区溢出漏洞。是由于SM2解密实现中的EVP_PKEY_decrypt()函数的边界检查不当所导致。远程攻击者可以通过发送特制的SM2内容,触发缓冲区溢出,从而在目标系统上执行其他代码或导致拒绝服务。

2.CVE-2021-3712:缓冲区溢出漏洞

该漏洞是处理ASN.1字符串时造成的缓冲区溢出漏洞。是由于X509_aux_print()函数中处理ASN.1字符串时的缓冲区溢出缺陷所导致。攻击者可以利用该漏洞导致拒绝服务,或导致私钥泄露内容等危害。

      三、 影响范围

1.CVE-2021-3711

OpenSSL <= 1.1.1k

2.CVE-2021-3712

OpenSSL <= 1.1.1k

OpenSSL <= 1.0.2y

      四、 安全建议

建议受影响用户尽快将OpenSSL升级至1.1.1l、1.0.2za或更高版本。(注意OpenSSL 1.0.2官方将很快不再提供技术支持)

https://www.openssl.org/news/secadv/20210824.txt

      五、 参考链接

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=59f5e75f3bced8fc0e130d72a3f582cf7b480b46

https://www.debian.org/security/2021/dsa-4963