一、背景介绍
12月9日,市委网信办技术支撑单位监测到OpenSSL官方发布OpenSSL拒绝服务漏洞(CVE-2020-1971)。
1.1漏洞描述
OpenSSL 在处理EDIPartyName(X.509 GeneralName类型标识)的时候存在一处空指针解引用,并引起程序崩溃导致拒绝服务。远程攻击者通过构造特制的证书验证过程触发该漏洞,并导致服务端拒绝服务,影响业务/功能正常运行。
1.2漏洞编号
CVE-2020-1971
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
OpenSSL:1.0.2/1.1.1
2.2 修复建议
将 OpenSSL 升级到 1.1.1
目前不受影响的 OpenSSL 版本只有 1.1.1 和 1.0.2 。同时 1.0.2 目前已经停止公开版
本的支持,建议所有普通用户使用 1.1.1
下载链接:https://www.openssl.org/source/