OpenSSL TLS服务器存在空指针漏洞，攻击者可利用该漏洞在未授权的情况下，构造恶意数据发送恶意的ClientHello请求，最终可造成OpenSSL TLS服务器拒绝服务。OpenSSL TLS客户端不受此问题的影响。

受影响版本：OpenSSL 1.1.1-1.1.1j

注：

（1）其他未注明的深信服产品均不受到上述漏洞影响

（2）DMP 2.1.3及数据安全大脑v3.3.0将于10月发布

攻击者可利用该漏洞在未授权的情况下，最终可造成OpenSSL TLS服务器拒绝服务。

危害级别：高危

漏洞评分 ：7.5(/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

采用CVSS 3.0标准的的评分原则，评分标准可参考

（https://www.first.org/cvss/calculator/3.0）

在OpenSSL TLS服务器启用了TLSv1.2和重新协商(默认配置)的功能后，如果TLSv1.2重新协商ClientHello时省略了signature_algorithms扩展名（在最初的ClientHello中存在），但包括signature_algorithms_cert扩展名，则将导致NULL指针取消引用，攻击者可在未授权的情况下利用该OpenSSL TLS服务器存在的空指针漏洞，构造恶意数据发送恶意的ClientHello请求，从而造成服务器崩溃和拒绝服务攻击。OpenSSL TLS客户端不受此问题的影响。

可拨打深信服漏洞专属修复热线400-005-5530获取或联系当地服务人员。

参考链接：https://www.openssl.org/news/vulnerabilities.html

无

无

您自深信服服务页面下载使用的任何软件/补丁均为深信服和/或其供应商的版权作品，未经深信服允许，您不得向其他第三方披露相关信息，且除用于服务目的外，您不得将软件/补丁进一步修复制、修改、分发、公布、许可、转让、销售或通过反编译等方式尝试提取其源代码。本文件不承诺任何明示、默示和法定的担保，包括但不限于对适销性、适用性及不侵权的担保。在任何情况下，深信服科技股份有限公司或其直接或间接控制的子公司对任何损失，包括直接、间接、偶然、必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。深信服可以随时对本文件的内容和信息进行修改或更新。

2021-10-11 V5.0 更新：刷新部分产品的修复方案

2021-09-18 V4.0 更新：刷新部分产品及修复方案

2021-04-30 V3.0 更新：

1.修改产品线DAS为具体的产品数据安全大脑；

2.修改产品线DSP为具体的产品DMP。

2021-04-02 V2.0 更新：

1.修改aTrust受影响版本，由原有的aTrust≤2.1.2变更为＜aTrust2.1.2；

2.删除受影响的产品，原有AD产品（v7.0.8R4及M7.4.2版本已关闭重协商功能）已确定不受影响；

3.删除受影响产品，原有CP产品（vls 2.2版本作为OpenSSL TLS客户端使用）已确定不受影响；

4.删除受影响产品，原有PaaS产品（v6.0版本已确认未使用OpenSSL进行加密）已确认不受影响；

5.更新修复方案。

2021-03-27 首次发布