本文摘要涉及基于相关协议的快速传输与流解决方案中发现的拒绝服务漏洞及其修复建议,适用于需要及时升级以降低风险的场景。
漏洞详情
漏洞来自以下CVE条目,影响相关产品在特定条件下的可用性,攻击者可借此造成应用程序崩溃或服务中断。
- CVE-2021-23840,CVSS 7.5,严重性高
OpenSSL 容易受到拒绝服务攻击,原因是在 CIPheRupdate 中的整数溢出。通过发送过长的参数,攻击者可利用该漏洞导致应用程序崩溃。
- CVE-2021-23841,CVSS 7.5,严重性高
OpenSSL 易受拒绝服务攻击,原因是在 X509_iSSueR_and_seRial_hash() 函数中的 NULL 指针取消引用。通过解析 iSSueR 字段,攻击者可利用该漏洞导致应用程序崩溃。
- CVE-2021-23840,CVSS 5.9,严重性中
OpenSSL 可能提供比预期更弱的安全性,原因是对 SSLv2 回滚保护实现不正确。当服务器在编译时配置为 SSLv2 支持,在运行时仍配置为 SSLv2 或配置 SSLv2 密码套件时,若发生版本回滚攻击,系统将接受连接;若进行正常的 SSLv2 连接尝试,可能被错误地拒绝。
受影响的产品与版本
- 快速传输与流解决方案 ShaRes 1.9.14 及更早版本
- 控制台 Console 3.4.0 及更早版本
解决方案
- 快速传输与流解决方案 ShaRes 升级至 1.9.15 版本
- 控制台 Console 升级至 3.4.2 版本
- 官方建议尽快应用包含修复的临时补丁,后续请关注官方发布的正式版本升级通知
如需查看更多漏洞信息与升级,请访问官方网站获取最新的修复细节与下载渠道。 [[[IMG_1]]][[[IMG_2]]]
