漏洞情报｜OpenSSL拒绝服务漏洞风险公告（CVE-2020-1971）

2020年12月8日，腾讯云安全运营中心监测到，OpenSSL官方发布了拒绝服务漏洞风险通告，漏洞编号为CVE-2020-1971。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

OpenSSL在处理EDIPartyName（X.509 GeneralName类型标识）的时候，存在一处空指针解引用，并引起程序崩溃导致拒绝服务。攻击者可通过构造特制的证书验证过程触发该漏洞，并导致服务端拒绝服务。

风险等级

高风险

漏洞风险

漏洞被利用可能导致拒绝服务。

影响版本

OpenSSL : 1.0.2-1.0.2w

OpenSSL : 1.1.1-1.1.1h

安全版本

OpenSSL : 1.1.1i

OpenSSL : 1.0.2x

修复建议

将OpenSSL升级到1.1.1i、 1.0.2x或最新版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971

https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971

更多精彩内容点击下方扫码关注哦~

   云鼎实验室视频号

  一分钟走进趣味科技

     -扫码关注我们-

 云鼎实验室互动星球

 一个多元的科技社交圈

  -扫码关注我们-

关注云鼎实验室，获取更多安全情报