中危 OpenSSL 缓冲区溢出漏洞

CVE编号

CVE-2021-3712

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-08-24
漏洞描述
该漏洞为处理ASN.1字符串造成的缓冲区溢出漏洞,是由于X509_aux_print()函数中处理ASN.1字符串时的的缓冲区溢出缺陷导致。攻击者可以利用该漏洞导致拒绝服务或可能导致私钥泄露内容等危害
解决建议
受影响版本:
OpenSSL <= 1.1.1k
OpenSSL <= 1.0.2y
将OpenSSL升级到1.1.1l、1.0.2za或最新版本(注意OpenSSL 1.0.2官方将很快不再支持)
参考链接
http://www.openwall.com/lists/oss-security/2021/08/26/2
https://cert-portal.siemens.com/productcert/pdf/ssa-244969.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf
https://cloud.tencent.com/announce/detail/1567
https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commitdiff%3Bh=94d23fcff9b2...
https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commitdiff%3Bh=ccb0a11145ee...
https://kc.mcafee.com/corporate/index?page=content&id=SB10366
https://lists.apache.org/thread.html/r18995de860f0e63635f3008fd2a6aca82394249...
https://lists.apache.org/thread.html/rad5d9f83f0d11fb3f8bb148d179b8a9ad7c6a17...
https://lists.debian.org/debian-lts-announce/2021/09/msg00014.html
https://lists.debian.org/debian-lts-announce/2021/09/msg00021.html
https://security.gentoo.org/glsa/202209-02
https://security.gentoo.org/glsa/202210-02
https://security.netapp.com/advisory/ntap-20210827-0010/
https://www.debian.org/security/2021/dsa-4963
https://www.openssl.org/news/secadv/20210824.txt
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.tenable.com/security/tns-2021-16
https://www.tenable.com/security/tns-2022-02
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 netapp clustered_data_ontap - -
运行在以下环境
应用 netapp clustered_data_ontap_antivirus_connector - -
运行在以下环境
应用 netapp e-series_santricity_os_controller * From
(including)
11.0 		Up to
(including)
11.50.2
运行在以下环境
应用 netapp hci_management_node - -
运行在以下环境
应用 netapp manageability_software_development_kit - -
运行在以下环境
应用 netapp santricity_smi-s_provider - -
运行在以下环境
应用 netapp solidfire - -
运行在以下环境
应用 netapp storage_encryption - -
运行在以下环境
应用 openssl openssl * From
(including)
1.0.2 		Up to
(excluding)
1.0.2za
运行在以下环境
应用 openssl openssl * From
(including)
1.1.1 		Up to
(excluding)
1.1.1l
阿里云评分
6.3
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-125 跨界内存读
阿里云安全产品覆盖情况