OpenSSL是用于实现网站和电子邮件加密的最广泛的软件库，它修补了一个高度严重的漏洞，黑客可以很容易地完全关闭大量服务器。

OpenSSL提供了经过时间考验的加密功能，实现了传输层安全协议，它是安全套接字层的继承者，对在Internet服务器和最终用户客户机之间流动的数据进行加密。开发使用TLS的应用程序的人依赖于OpenSSL来节省时间，并避免编程错误，这些错误在非密码学家构建使用复杂加密的应用程序时很常见。

2014年，黑客们开始利用开放源代码库中的一个关键漏洞，从世界各地的服务器上窃取加密密钥、客户信息和其他敏感数据，这让他们在互联网安全方面发挥的关键作用得到了充分的体现。这个安全漏洞被称为“心脏出血”(Heartbleed)，它展示了几行错误代码是如何摧毁银行、新闻网站、律师事务所等机构的安全的。

拒绝服务漏洞压扁

周四，OpenSSL维护者披露并修补了一个漏洞，当他们从未经身份验证的最终用户那里收到恶意编写的请求时，这个漏洞会导致服务器崩溃。CVE-2021-3449是一个空指针解引用bug的结果，因为它跟踪了拒绝服务器漏洞。密码工程师Filippo Valsorda在推特上说，这个漏洞可能比现在更早被发现。

“不管怎样，听起来你可以让今天互联网上的大多数OpenSSL服务器崩溃，”他补充说。

黑客可以利用这个漏洞，在最终用户和服务器之间建立安全连接的初始握手期间，沐鸣开户测速向服务器发送恶意形成的重新协商请求。

“如果从客户端发送了恶意制作的重新协商ClientHello消息，那么OpenSSL TLS服务器可能会崩溃，”维护者在一份建议中写道。“如果TLSv1.2重新协商ClientHello省略了signature_algorithms扩展(它在初始ClientHello中存在)，但包含了signature_algorithms_cert扩展，那么空指针解引用将导致崩溃和拒绝服务攻击。”

维护人员已经将严重性评级定为高。研究人员于3月17日报告了OpenSSL的漏洞。诺基亚开发者Peter Kästle和Samuel Sapalski提供了修复。

证书验证绕过

OpenSSL还修复了一个单独的漏洞，在边缘情况下，防止应用程序检测和拒绝没有经过浏览器信任的证书颁发机构数字签名的TLS证书。该漏洞被追踪为CVE-2021-3450，涉及代码中的X509_V_FLAG_X509_STRICT标记和几个参数之间的相互作用。

周四的咨询解释道:

如果已经配置了“purpose”，那么随后就有机会检查证书是否为有效的CA。libcrypto中实现的所有命名的“purpose”值都将执行此检查。因此，在设置了目的的情况下，即使使用了strict标志，证书链仍然会被拒绝。目的是在libssl客户端和服务器证书验证例程中默认设置的，但是它可以被应用程序覆盖或删除。

为了受到影响，应用程序必须显式设置X509_V_FLAG_X509_STRICT验证标志，沐鸣开户测速并且不为证书验证设置目的，或者在TLS客户端或服务器应用程序的情况下，覆盖缺省目的。

OpenSSL版本1.1.1h及更新版本易受攻击。OpenSSL 1.0.2不受此问题的影响。Akamai的研究人员Ding Xiang和Benjamin Kaduk分别发现并报告了该漏洞。这个补丁是由与OpenSSL软件服务公司签订合同的软件开发公司Tomáš Mráz打的。

使用OpenSSL漏洞版本的应用应尽快升级到OpenSSL 1.1.1k。