为您推荐

随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
<HSVD-2021-0001>
山石网科部分产品上使用了OpenSSL 1.1.1版本的第三方库,该库存在一个拒绝服务漏洞。由于OpenSSL中的TLS1.2重协商代码可能导致空指针解引用,攻击者利用该漏洞可能导致拒绝服务。(漏洞编号: HSVD-2021-0001)
OpenSSL是一个开放源代码的软件库,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连线者的身份。这个库广泛被应用在互联网的网页服务器上,已是互联网最重要的基础设施之一。
此漏洞的CVE编号为: CVE-2021-3449。
受影响版本及修复版本:
攻击者利用该漏洞可能导致拒绝服务。
利用漏洞发起攻击的预置条件:攻击者和目标设备在同一个网络。
漏洞详细描述:
如果在重新协商的过程中,客户端发送了一个恶意的ClientHello消息,省略了signature_algorithms扩展名(在最初的ClientHello中存在),但包括了signature_algorithms_cert扩展名,则将导致空指针解引用,从而导致崩溃和拒绝服务攻击。
1) 防火墙管理功能的缺陷可以通过设置可信主机或限制接口的管理方式来进行规避;
2) 其他使用TLS的业务无法规避。
针对此漏洞问题及详细解决方案,可以联系山石网科技术支持热线电话400-828-6655及专业化服务人员、售前技术人员。
反馈山石网科产品和解决方案安全问题,请反馈至山石PSIRT邮箱PSIRT@hillstonenet.com,山石网科尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并遵守相关法律法规处理产品安全问题。
山石网科,为您的安全竭尽全力!
© 2010 – 2023 山石网科,保留一切权利。 北京市公安局朝阳分局备案编号1101051794 京ICP备09083327号-1 https://beian.miit.gov.cn/