腾讯云安全运营中心监测到，OpenSSL官方发布了拒绝服务漏洞风险通告，漏洞编号为CVE-2020-1971。

为避免您的业务受影响，建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

OpenSSL在处理EDIPartyName（X.509 GeneralName类型标识）的时候，存在一处空指针解引用，并引起程序崩溃导致拒绝服务。攻击者可通过构造特制的证书验证过程触发该漏洞，并导致服务端拒绝服务。

风险等级

高

漏洞风险

漏洞被利用可能导致拒绝服务

影响版本

OpenSSL : 1.0.2-1.0.2w

OpenSSL : 1.1.1-1.1.1h

安全版本

OpenSSL : 1.1.1i

OpenSSL : 1.0.2x

修复建议

将OpenSSL升级到1.1.1i、 1.0.2x或最新版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://www.openssl.org/news/vulnerabilities-1.1.1.html#CVE-2020-1971

https://www.openssl.org/news/vulnerabilities-1.0.2.html#CVE-2020-1971

更多资讯：更多资讯

本站发布的【【安全通告】OpenSSL拒绝服务漏洞风险公告（CVE-2020-1971）】内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场

如果涉及侵权请尽快告知,我们将会在第一时间立刻删除涉嫌侵权内容，本站原创内容未经允许不得转载，或转载时需注明出处。