【预警通报】关于OpenSSL存在拒绝服务高危漏洞的预警通报

近日，OpenSSL官方发布安全公告，披露OpenSSL GENERAL_NAME_cmp拒绝服务漏洞。漏洞编号:CVE-2020-1971,安全级别为“高危”。

一、漏洞情况

OpenSSL是一个开放源代码软件库包，广泛应用于互联网网页服务器。应用程序可使用该包进行安全通信并确认另一端连接者身份。漏洞存在于OpenSSL的GENERAL_NAME_cmp函数中，当两个GENERAL_NAME函数均包含同一个EDIPARTYNAME指针时，源于GENERAL_NAME_cmp函数未能正确处理将导致空指针引用，从而引起程序崩溃导致拒绝服务。远程攻击者通过构造特制的证书验证过程触发该漏洞，并导致服务端拒绝服务，影响业务功能正常运行 。

二、影响范围

OpenSSL1.1.1 ～ 1.1.1h；

OpenSSL1.0.2 ～ 1.0.2w。

三、处置建议

OpenSSL官方已发布新版本修复上述漏洞，请广大用户位尽快升级更新进行防护。附件：参考链接：https://help.aliyun.com/noticelist/articleid/1060765498.html?spm=a2c4g.789004748.n2.9.15386141T6RaPe