一、漏洞概要

2.1 组件介绍

OpenSSL是一个开源的密码学套件库包。包括SSL协议库，应用程序和密码算法库等功能，提供完整的传输层安全实现，可以实现密钥生成，数字签名，数字证书签发，信息摘要等完整的加解密功能，保证通信的私密性。

2.2 漏洞简介

近日，深信服安全团队监测到一则OpenSSL官方发布安全补丁的通告，共修复了2个安全漏洞，其中包含1个高危漏洞的信息。

2.3漏洞描述

漏洞1 OpenSSL缓冲区溢出漏洞CVE-2021-3711

简介：该漏洞是由于OpenSSL调用用来解密SM2加密的数据所用的API函数EVP_PKEY_decrypt时，计算缓冲区大小存在错误，攻击者可利用该漏洞，构造恶意数据执行远程代码执行攻击，最终可控制程序的运行或造成程序崩溃等。

漏洞2 OpenSSL缓冲区溢出漏洞CVE-2021-3712

简介：该漏洞是由于OpenSSL用于存储ASN.1字符串的结构ASN1_STRING在创建时没有严格遵守字符串的零字节结尾，打印时可能发生读取缓冲区溢出，攻击者可利用该漏洞，构造恶意数据执行信息泄露攻击，最终可造成服务器敏感性信息泄露或程序崩溃等。

OpenSSL是多数Linux发行版系统默认的密码套件库，由于其强大的功能被广泛使用。可能受漏洞影响的资产广泛分布于世界各地，此次曝出的漏洞有高危和中危的漏洞，涉及用户量大，漏洞影响力较大。

4.1修复建议

1. 如何检测组件系统版本

执行命令

openssl version

显示的版本如属于上述的影响版本，则存在此漏洞。

2.官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://www.openssl.org/source/

4.2 深信服解决方案

【深信服安全云眼Cloudeye】在OpenSSL缓冲区溢出漏洞（CVE-2021-3711/ CVE-2021-3712）爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

【深信服云镜JY】在OpenSSL缓冲区溢出漏洞（CVE-2021-3711/ CVE-2021-3712）爆发第一时间即完成检测能力的发布，部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响，避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力，可以连接云端升级的用户可自动获得漏洞检测能力。

2021/8/25  深信服监测到OpenSSL官方发布安全更新。

2021/8/25  深信服千里目安全实验室发布漏洞通告。

1. https://www.openssl.org/news/vulnerabilities.html

本文作者：Further_eye

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/165270.html