3月26日 消息:日前，OpenSSL 項目修復了一個高危漏洞，該漏洞允許黑客發(fā)送特制惡意請求完全關閉大量的服務器。

據(jù)悉，OpenSSL 是最廣泛使用的軟件加密庫，提供了經(jīng)過時間考驗的靠譜的加密功能。

而在本周四，OpenSSL維護人員披露并修補了一個漏洞，當服務器收到未經(jīng)身份驗證的特制惡意的請求時，該漏洞會導致服務器崩潰。

CVE-2021-3449是一個拒絕服務漏洞，是空指針引用錯誤導致的。在建立安全連接的初始握手期間，黑客可以利用該漏洞發(fā)送惡意形式的重協(xié)商請求。

密碼工程師Filippo Valsorda在推特上表示，這個漏洞可能在更早之前已經(jīng)被發(fā)現(xiàn)了。

研究人員在3月17日報告了這一漏洞，并將其評為高危漏洞。諾基亞的開發(fā)者 Peter K?stle 和 Samuel Sapalski 開發(fā)了修復的補丁。

另外，OpenSSL還修復了一個單獨的漏洞——CVE-2021-3450，在極端的情況下，該漏洞阻止應用程序檢測和拒絕未經(jīng)瀏覽器信任的證書頒發(fā)機構數(shù)字簽名的TLS證書。

OpenSSL1.1.1h和更高版本容易受到攻擊，而OpenSSL1.0.2則不受此問題的影響。官方建議，使用易受攻擊的OpenSSL版本的應用程序盡快升級到OpenSSL1.1.1k。