天融信关于OpenSSL多个高危漏洞风险提示

0x00背景介绍

3月26日,天融信阿尔法实验室监测到OpenSSL发布了安全更新风险公告，公告包括OpenSSL产品中的一个拒绝服务漏洞(CVE-2021-3449)和一个证书验证绕过漏洞(CVE-2021-3450)。

0x01 漏洞描述

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，同时确认连接者身份。这个包广泛被应用在互联网的网页服务器上。

• CVE-2021-3449:拒绝服务漏洞

在重新握手过程中，tls1_set_shared_sigalgs()会调用tls12_shared_sigalgs()与上一个的peer_sigalgslen握手，但是上一次释放内存时没有重置变量peer_sigalgslen，导致tls12_shared_sigalgs()遍历peer_sigalgs时出现空指针解引用错误。

补丁在释放peer_sigalgs内存时，设置peer_sigalgslen变量为0，再次握手时认为上一次的peer_sigalgslen不可用，即不会发生空指针解引用。

• CVE-2021-3450:证书验证绕过漏洞

在开启X509_V_FLAG_X509_STRICT 选项的 openssl 服务器上，由于OpenSSL对X.509证书链的验证逻辑中存在问题，导致受影响的系统接受由非CA证书或证书链签名的有效证书。攻击者可以通过使用任何有效的证书或证书链来签名精心制作的证书来利用此漏洞。成功的利用可能使攻击者能够进行中间人（MiTM）攻击并获取敏感信息(例如：访问受证书身份验证保护的网络或资产，窃听加密通信内容)。

0x02漏洞编号

CVE-2021-3449、CVE-2021-3450

0x03漏洞等级

高危

0x04受影响版本