【漏洞资讯】Multiple vulnerabilities in OpenSSL

漏洞时间:2021年8月25日

 

漏洞介绍

OpenSSL 是用于传输层安全性 (TLS) 和安全套接字层 (SSL) 协议的强大、商业级和功能齐全的工具包。它也是一个通用的密码学库。

监控发现CVE-2021-3711、CVE-2021-3712 OpenSSL的两个高危漏洞

漏洞名称
OpenSSL高危漏洞两则
威胁等级
高危
漏洞威胁
OpenSSL
影响范围
3711-OpenSSL:1.1.1、1.1.1a、1.1.1b、1.1.1c、1.1.1d、1.1.1e、1.1.1f、1.1.1g、1.1.1h、1.1.1i、1.1.1j、1.1.1k
3712-OpenSSL:1.0.2、1.0.2a、1.0.2b、1.0.2c、1.0.2d、1.0.2e、1.0.2f、1.0.2g、1.0.2h、1.0.2i、1.0.2j、1.0.2k 1.0.2l、1.0.2m、1.0.2n、1.0.2o、1.0.2p、1.0.2q、1.0.2r、1.0.2s、1.0.2t、1.0.2u、1.0.2v、1.0.0.2w、1.0.2w 2x, 1.0.2y, 1.1.1, 1.1.1a, 1.1.1b, 1.1.1c, 1.1.1d, 1.1.1e, 1.1.1f, 1.1.1g, 1.1.1h, 1.1.1i, 1.1.1.1.1 1.1.1k
漏洞类型
RCE&MORE
利用难度
N/A
漏洞编号
CVE-2021-3711、CVE-2021-3712
是否有POC
N/A

 

信息详情

CVE-2021-3711

在 openssl 中发现了一个缺陷。在 openssl 的 SM2 解密函数中发现缓冲区大小计算错误,允许在缓冲区外写入​​多达 62 个任意字节。远程攻击者可以利用此漏洞使支持 SM2 签名或加密算法的应用程序崩溃,或者,可能在运行该应用程序的用户的权限下执行任意代码。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。

OpenSSL:1.1.1、1.1.1a、1.1.1b、1.1.1c、1.1.1d、1.1.1e、1.1.1f、1.1.1g、1.1.1h、1.1.1i、1.1.1j、1.1.1k

 

CVE-2021-3712

OpenSSL 项目还修复了一个中等严重性漏洞,编号为CVE-2021-3712,攻击者可以利用该漏洞触发拒绝服务 (DoS) 条件。该缺陷还可能导致私有内存内容(例如私钥或敏感明文)的泄露。该漏洞影响版本 1.1.1-1.1.1k,并在 OpenSSL 1.1.1j 和 1.0.2za 中得到修复。

OpenSSL:1.0.2、1.0.2a、1.0.2b、1.0.2c、1.0.2d、1.0.2e、1.0.2f、1.0.2g、1.0.2h、1.0.2i、1.0.2j、1.0.2k 1.0.2l、1.0.2m、1.0.2n、1.0.2o、1.0.2p、1.0.2q、1.0.2r、1.0.2s、1.0.2t、1.0.2u、1.0.2v、1.0.0.2w、1.0.2w 2x, 1.0.2y, 1.1.1, 1.1.1a, 1.1.1b, 1.1.1c, 1.1.1d, 1.1.1e, 1.1.1f, 1.1.1g, 1.1.1h, 1.1.1i, 1.1.1.1.1 1.1.1k

修复方式

升级至安全版本

目前这些漏洞已经修复,建议及时升级更新。

针对CVE-2021-3711,升级到OpenSSL 1.1.1l或更高版本。

针对CVE-2021-3712,升级到 OpenSSL 1.1.1j、OpenSSL 1.0.2za或更高版本。

下载链接:

https://www.openssl.org/source/

 

补丁链接:

CVE-2021-3711(OpenSSL 1.1.1l):

https://github.com/openssl/openssl/commit/59f5e75f3bced8fc0e130d72a3f582cf7b480b46

 

CVE-2021-3712(OpenSSL 1.1.1j):

https://github.com/openssl/openssl/commit/94d23fcff9b2a7a8368dfe52214d5c2569882c11

 

CVE-2021-3712(OpenSSL 1.0.2za):

https://github.com/openssl/openssl/commit/ccb0a11145ee72b042d10593a64eaf9e8a55ec12

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2021-3711

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3711

天师

本文原创,作者:Galaxy,其版权均为Galaxy Lab所有。如需转载,请注明出处:http://galaxylab.pingan.com.cn/%e3%80%90%e6%bc%8f%e6%b4%9e%e8%b5%84%e8%ae%af%e3%80%91multiple-vulnerabilities-in-openssl/

发表评论

*