OpenSSL多个漏洞安全通告
日期:2021-08-25 09:23:33 发布人:教育信息化建设处 浏览量:401
组件介绍
OpenSSL是一个开源的密码学套件库包。包括SSL协议库,应用程序和密码算法库等功能,提供完整的传输层安全实现,可以实现密钥生成,数字签名,数字证书签发,信息摘要等完整的加解密功能,保证通信的私密性。
漏洞简介
近日,深信服安全团队监测到一则OpenSSL官方发布安全补丁的通告,共修复了2个安全漏洞,其中包含1个高危漏洞的信息。
漏洞描述
漏洞1 OpenSSL缓冲区溢出漏洞 CVE-2021-3711
简介:该漏洞是由于OpenSSL调用用来解密SM2加密的数据所用的API函数EVP_PKEY_decrypt时,计算缓冲区大小存在错误,攻击者可利用该漏洞,构造恶意数据执行远程代码执行攻击,最终可控制程序的运行或造成程序崩溃等。
漏洞2 OpenSSL缓冲区溢出漏洞 CVE-2021-3712
简介:该漏洞是由于OpenSSL用于存储ASN.1字符串的结构ASN1_STRING在创建时没有严格遵守字符串的零字节结尾,打印时可能发生读取缓冲区溢出,攻击者可利用该漏洞,构造恶意数据执行信息泄露攻击,最终可造成服务器敏感性信息泄露或程序崩溃等。
影响范围
OpenSSL是多数Linux发行版系统默认的密码套件库,由于其强大的功能被广泛使用。可能受漏洞影响的资产广泛分布于世界各地,此次曝出的漏洞有高危和中危的漏洞,涉及用户量大,漏洞影响力较大。
如何检测组件系统版本
执行命令
openssl version
显示的版本如属于上述的影响版本,则存在此漏洞。
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.openssl.org/source/
- 上一篇:VMware多个漏洞通告
- 下一篇:Apache OFBiz任意文件上传漏洞