一、背景介紹

3月29日，市委網信辦技術支撐單位監測到OpenSSL發布安全更新風險公告，修復了OpenSSL產品中的一個拒絕服務漏洞和一個證書驗證繞過漏洞（CVE-2021-3449、CVE-2021-3450）。

1.1漏洞描述

OpenSSL是一個開放源代碼的軟件庫包，應用程序可以使用這個包來進行安全通信，同時確認連接者身份。這個包廣泛被應用在互聯網的網頁服務器上。

1、拒絕服務漏洞

在重新握手過程中，tls1_set_shared_sigalgs()會調用tls12_shared_sigalgs()與上一個的peer_sigalgslen握手，但是上一次釋放內存時沒有重置變量peer_sigalgslen，導致 tls12_shared_sigalgs()遍歷 peer_sigalgs時出現空指針解引用錯誤。補丁在釋放peer_sigalgs內存時，設置peer_sigalgslen變量為0再次握手時認為上一次的 peer_sigalgslen 不可用，即不會發生空指針解引用。  

2、證書驗證繞過漏洞

在開啟 X509_V_FLAG_X509_STRICT 選項的openssl服務器上，由于OpenSSL對X.509證書鏈的驗證邏輯中存在問題，導致受影響的系統接受由非 CA 證書或證書鏈簽名的有效證書。攻擊者可以通過使用任何有效的證書或證書鏈來簽名精心制作的證書來利用此漏洞。從而實現能使攻擊者能夠進行中間人（MiTM）攻擊并獲取敏感信息(例如：訪問受證書身份驗證保護的網絡或資產，竊聽加密通信內容)。

1.2漏洞編號

CVE-2021-3449

CVE-2021-3450

1.3漏洞等級

高危

二、修復建議

2.1 受影響版本

所有 OpenSSL1.1.1版。

OpenSSL1.0.2不受此問題影響。

2.2 修復建議

OpenSSL已經發布了安全更新，建議受影響用戶盡快升級到 openssl1.1.1k版本。