【安全通告】OpenSSL拒绝服务漏洞风险公告（CVE-2020-1971）

尊敬的腾讯云用户，您好！

2020年12月8日，腾讯云安全运营中心监测到，OpenSSL官方发布了拒绝服务漏洞风险通告，漏洞编号为CVE-2020-1971。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

OpenSSL在处理EDIPartyName（X.509 GeneralName类型标识）的时候，存在一处空指针解引用，并引起程序崩溃导致拒绝服务。攻击者可通过构造特制的证书验证过程触发该漏洞，并导致服务端拒绝服务。

风险等级

高

漏洞风险

漏洞被利用可能导致拒绝服务

影响版本

OpenSSL : 1.0.2-1.0.2w

OpenSSL : 1.1.1-1.1.1h

安全版本

OpenSSL : 1.1.1i

OpenSSL : 1.0.2x

修复建议

将OpenSSL升级到1.1.1i、 1.0.2x或最新版本

【备注】：建议您在升级前做好数据备份工作，避免出现意外

检测与防护复建议

腾讯T-Sec主机安全（云镜）漏洞库日期2020-12-9之后的版本，已支持对OpenSSL 拒绝服务漏洞(CVE-2020-1971)进行检测

漏洞参考

2020-12-09