3月26日 消息:日前，OpenSSL 項(xiàng)目修復(fù)了一個(gè)高危漏洞，該漏洞允許黑客發(fā)送特制惡意請(qǐng)求完全關(guān)閉大量的服務(wù)器。

據(jù)悉，OpenSSL 是最廣泛使用的軟件加密庫(kù)，提供了經(jīng)過(guò)時(shí)間考驗(yàn)的靠譜的加密功能。

而在本周四，OpenSSL維護(hù)人員披露并修補(bǔ)了一個(gè)漏洞，當(dāng)服務(wù)器收到未經(jīng)身份驗(yàn)證的特制惡意的請(qǐng)求時(shí)，該漏洞會(huì)導(dǎo)致服務(wù)器崩潰。

CVE-2021-3449是一個(gè)拒絕服務(wù)漏洞，是空指針引用錯(cuò)誤導(dǎo)致的。在建立安全連接的初始握手期間，黑客可以利用該漏洞發(fā)送惡意形式的重協(xié)商請(qǐng)求。

密碼工程師Filippo Valsorda在推特上表示，這個(gè)漏洞可能在更早之前已經(jīng)被發(fā)現(xiàn)了。

研究人員在3月17日?qǐng)?bào)告了這一漏洞，并將其評(píng)為高危漏洞。諾基亞的開(kāi)發(fā)者 Peter K?stle 和 Samuel Sapalski 開(kāi)發(fā)了修復(fù)的補(bǔ)丁。

另外，OpenSSL還修復(fù)了一個(gè)單獨(dú)的漏洞——CVE-2021-3450，在極端的情況下，該漏洞阻止應(yīng)用程序檢測(cè)和拒絕未經(jīng)瀏覽器信任的證書(shū)頒發(fā)機(jī)構(gòu)數(shù)字簽名的TLS證書(shū)。

OpenSSL1.1.1h和更高版本容易受到攻擊，而OpenSSL1.0.2則不受此問(wèn)題的影響。官方建議，使用易受攻擊的OpenSSL版本的應(yīng)用程序盡快升級(jí)到OpenSSL1.1.1k。