3月26日 消息:日前,OpenSSL 项目修复了一个高危漏洞,该漏洞允许黑客发送特制恶意请求完全关闭大量的服务器。
据悉,OpenSSL 是最广泛使用的软件加密库,提供了经过时间考验的靠谱的加密功能。
而在本周四,OpenSSL维护人员披露并修补了一个漏洞,当服务器收到未经身份验证的特制恶意的请求时,该漏洞会导致服务器崩溃。
CVE-2021-3449是一个拒绝服务漏洞,是空指针引用错误导致的。在建立安全连接的初始握手期间,黑客可以利用该漏洞发送恶意形式的重协商请求。
密码工程师Filippo Valsorda在推特上表示,这个漏洞可能在更早之前已经被发现了。
研究人员在3月17日报告了这一漏洞,并将其评为高危漏洞。诺基亚的开发者 Peter Kästle 和 Samuel Sapalski 开发了修复的补丁。
另外,OpenSSL还修复了一个单独的漏洞——CVE-2021-3450,在极端的情况下,该漏洞阻止应用程序检测和拒绝未经浏览器信任的证书颁发机构数字签名的TLS证书。
OpenSSL1.1.1h和更高版本容易受到攻击,而OpenSSL1.0.2则不受此问题的影响。官方建议,使用易受攻击的OpenSSL版本的应用程序尽快升级到OpenSSL1.1.1k。
