烽火狼烟丨OpenSSL证书绕过和拒绝服务漏洞风险提示

漏洞概述

2021年03月26日，WebRAY烽火台实验室监测到OpenSSL官网发布关于CVE-2021-3450,CVE-2021-3449的漏洞通告，公布了OpenSSL中存在的证书绕过和拒绝服务漏洞，WebRAY烽火台实验室提醒用户及时关注OpenSSL组件版本信息并对受影响的组件进行更新。

OpenSSL是一个开源的安全套接字层密码库，囊括主要的密码算法、常用以实现密钥、证书封装管理及SSL协议，应用范围广泛。CVE-2021-3450是由于OpenSSL对X.509证书链的验证存在逻辑问题，导致攻击者可以通过精心构造的非CA证书绕过证书验证从而实现中间人攻击。CVE-2021-3449则是由于TLS v1.2重新协商选项中存在空指针解引用不当导致的拒绝服务攻击漏洞。

WebRAY烽火台实验室将持续关注该漏洞进展，并第一时间为您更新该漏洞信息。