OpenSSL 受 “高严重性” 安全漏洞影响，请立即更新

openssl项目警告TLS / SSL工具包中存在“高严重性”安全漏洞，该漏洞使用户容易受到拒绝服务（DoS）攻击。

该漏洞是空指针取消引用，成功利用该漏洞可能会触发拒绝服务条件。谷歌研究员大卫·本杰明(David Benjamin)报告了这一漏洞。

“ X.509 GeneralName类型是一种通用类型，用于表示不同类型的名称。这些名称类型之一称为EDIPartyName。OpenSSL提供了一个GENERAL_NAME_cmp函数，该函数比较GENERAL_NAME的不同实例以查看它们是否相等。” 读取OpenSSL Project发布的警报。“当两个GENERAL_NAME都包含一个EDIPARTYNAME时，此函数的行为不正确。NULL指针取消引用和崩溃可能会导致可能的拒绝服务攻击。”

该漏洞源自GENERAL_NAME_cmp函数，该函数比较了X.509证书中使用的GENERAL_NAME的不同实例。

GENERAL_NAME_cmp函数用于以下目的：

• 1）比较可用CRL和X509证书中嵌入的CRL分发点之间的CRL分发点名称

• 2）验证时间戳记响应令牌签名者是否与时间戳记授权名匹配时（通过API函数TS_RESP_verify_response和TS_RESP_verify_token公开）

攻击者可以通过控制两个要比较的项目来触发冲突，例如，如果攻击者可以诱使客户端或服务器针对恶意CRL检查恶意证书，则可能发生冲突。

该漏洞影响所有OpenSSL 1.1.1和1.0.2版本，建议用户升级到OpenSSL 1.1.1i。