【安全公告】涉及深信服产品的OpenSSL拒绝服务漏洞预警公告
OpenSSL TLS服务器存在空指针漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意数据发送恶意的ClientHello请求,最终可造成OpenSSL TLS服务器拒绝服务。OpenSSL TLS客户端不受此问题的影响。
受影响版本:OpenSSL 1.1.1-1.1.1j
编号 | 产品名称 | 影响版本 | 漏洞编号 | 修复版本 |
1 | 数据安全大脑 | 数据安全大脑v2.2.0、v2.2.1、v3.1.0 | CVE-2021-3449 | 数据安全大脑v3.3.0 |
2 | aTrust | aTrust<2.1.2 | CVE-2021-3449 | aTrust 2.1.2 |
3 | DMP | DMP ≤2.1.2 | CVE-2021-3449 | DMP 2.1.3 |
4 | NGSOC | feature-x≤v3.0.6 | CVE-2021-3449 | feature-x v3.0.8 |
注:
(1)其他未注明的深信服产品均不受到上述漏洞影响
(2)DMP 2.1.3及数据安全大脑v3.3.0将于10月发布
攻击者可利用该漏洞在未授权的情况下,最终可造成OpenSSL TLS服务器拒绝服务。
危害级别:高危
漏洞评分 :7.5(/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
采用CVSS 3.0标准的的评分原则,评分标准可参考
在OpenSSL TLS服务器启用了TLSv1.2和重新协商(默认配置)的功能后,如果TLSv1.2重新协商ClientHello时省略了signature_algorithms扩展名(在最初的ClientHello中存在),但包括signature_algorithms_cert扩展名,则将导致NULL指针取消引用,攻击者可在未授权的情况下利用该OpenSSL TLS服务器存在的空指针漏洞,构造恶意数据发送恶意的ClientHello请求,从而造成服务器崩溃和拒绝服务攻击。OpenSSL TLS客户端不受此问题的影响。
可拨打深信服漏洞专属修复热线400-005-5530获取或联系当地服务人员。
无
无
您自深信服服务页面下载使用的任何软件/补丁均为深信服和/或其供应商的版权作品,未经深信服允许,您不得向其他第三方披露相关信息,且除用于服务目的外,您不得将软件/补丁进一步修复制、修改、分发、公布、许可、转让、销售或通过反编译等方式尝试提取其源代码。本文件不承诺任何明示、默示和法定的担保,包括但不限于对适销性、适用性及不侵权的担保。在任何情况下,深信服科技股份有限公司或其直接或间接控制的子公司对任何损失,包括直接、间接、偶然、必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。深信服可以随时对本文件的内容和信息进行修改或更新。
2021-10-11 V5.0 更新:刷新部分产品的修复方案
2021-09-18 V4.0 更新:刷新部分产品及修复方案
2021-04-30 V3.0 更新:
1.修改产品线DAS为具体的产品数据安全大脑;
2.修改产品线DSP为具体的产品DMP。
2021-04-02 V2.0 更新:
1.修改aTrust受影响版本,由原有的aTrust≤2.1.2变更为<aTrust2.1.2;
2.删除受影响的产品,原有AD产品(v7.0.8R4及M7.4.2版本已关闭重协商功能)已确定不受影响;
3.删除受影响产品,原有CP产品(vls 2.2版本作为OpenSSL TLS客户端使用)已确定不受影响;
4.删除受影响产品,原有PaaS产品(v6.0版本已确认未使用OpenSSL进行加密)已确认不受影响;
5.更新修复方案。
2021-03-27 首次发布