安全公告-山石网科部分产品存在拒绝服务漏洞

<HSVD-2021-0001>


1、漏洞概述

山石网科部分产品上使用了OpenSSL 1.1.1版本的第三方库,该库存在一个拒绝服务漏洞。由于OpenSSL中的TLS1.2重协商代码可能导致空指针解引用,攻击者利用该漏洞可能导致拒绝服务。(漏洞编号: HSVD-2021-0001)

OpenSSL是一个开放源代码的软件库,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连线者的身份。这个库广泛被应用在互联网的网页服务器上,已是互联网最重要的基础设施之一。

此漏洞的CVE编号为: CVE-2021-3449。

2、版本和修复

受影响版本及修复版本:

3、影响后果

攻击者利用该漏洞可能导致拒绝服务。

4、技术细节

利用漏洞发起攻击的预置条件:攻击者和目标设备在同一个网络。

漏洞详细描述:
如果在重新协商的过程中,客户端发送了一个恶意的ClientHello消息,省略了signature_algorithms扩展名(在最初的ClientHello中存在),但包括了signature_algorithms_cert扩展名,则将导致空指针解引用,从而导致崩溃和拒绝服务攻击。

5、规避措施

1) 防火墙管理功能的缺陷可以通过设置可信主机或限制接口的管理方式来进行规避;
2) 其他使用TLS的业务无法规避。

6、联系我们

针对此漏洞问题及详细解决方案,可以联系山石网科技术支持热线电话400-828-6655及专业化服务人员、售前技术人员。

反馈山石网科产品和解决方案安全问题,请反馈至山石PSIRT邮箱PSIRT@hillstonenet.com,山石网科尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并遵守相关法律法规处理产品安全问题。

山石网科,为您的安全竭尽全力!