OpenSSL发布了针对2个高严重性安全漏洞的修补程序

OpenSSL的维护者发布了一个修复程序，修复了其软件中的两个高严重性安全漏洞，这些漏洞可被用来实施拒绝服务（DoS）攻击和绕过证书验证。

追踪为CVE-2021-3449和CVE-2021-3450，这两个漏洞已在周四发布的更新（OpenSSL 1.1.1k版）中得到解决。虽然CVE-2021-3449影响所有OpenSSL 1.1.1版本，但CVE-2021-3450影响OpenSSL 1.1.1h及更新版本。

OpenSSL是一个软件库，由实现传输层安全协议的加密函数组成，目标是保护通过计算机网络发送的通信。

根据OpenSSL发布的一条建议，CVE-2021-3449涉及由于空指针解引用而产生的潜在DoS漏洞，如果在重新协商过程中，客户端在服务器和用户之间握手期间传输恶意的“ClientHello”消息，该漏洞会导致OpenSSL TLS服务器崩溃。这一问题的提出是2018年1月改革的一部分。

“如果TLSv1.2重新协商ClientHello省略了signature_algorithms扩展（它出现在最初的ClientHello中），但包含signature_algorithms_cert扩展，则会导致空指针解引用，从而导致崩溃和拒绝服务攻击，”该公告称。

诺基亚在3月17日报告了该漏洞，并通过更改一行代码修复了DoS漏洞。

另一方面，CVE-2021-3450与X509_V_FLAG_X509_STRICT FLAG有关，该标志支持对证书链中存在的证书进行额外的安全检查。虽然默认情况下未设置此标志，但实现中的错误意味着OpenSSL无法检查“非CA证书不能颁发其他证书”，从而导致证书绕过。

因此，该漏洞阻止应用拒绝未经浏览器可信证书颁发机构（CA）数字签名的TLS证书。

OpenSSL表示：“为了受到影响，应用程序必须显式设置X509_V_标志_X509_严格验证标志，或者不设置证书验证的目的，或者在TLS客户端或服务器应用程序的情况下，覆盖默认目的。”。

据称，Akamai的Benjamin Kaduk已于3月18日向项目维护人员报告了该问题。Akamai的Xiang Ding等人发现了该漏洞，前Red Hat首席软件工程师和OpenSSL开发人员TomášMráz对此进行了修复。

尽管这两个问题都不会影响OpenSSL 1.0.2，但值得注意的是，该版本自2020年1月1日起就不再受支持，并且不再接收更新。建议依赖易受攻击的OpenSSL版本的应用程序应用补丁，以降低与缺陷相关的风险。