据ArsTechnica报道，被许多网站和加密电子邮件服务提供商广泛使用的软件库OpenSSL最近暴露出一个危险的安全漏洞，可能导致其服务器崩溃。OpenSSL提供了经过验证的加密功能，并实现了基于TLS的安全传输协议。它是SSL的后继协议，用于加密Internet服务器和最终用户客户机之间的数据流。

TLS应用程序的开发人员可以使用OpenSSL来节省返工，并避免专家建议避免的常见陷阱。

OpenSSL在互联网安全方面的关键作用在2014年得到充分体现，当时黑客开始利用开源代码库中的一个严重漏洞。

众所周知，黑客会利用这些漏洞从世界各地的服务器上窃取敏感的客户信息，包括加密密钥。“心脏出血”漏洞只用几行代码就摧毁了银行、新闻网站、律师事务所等。

周四，OpenSSL维护团队透露，他们已经修补了一个严重的安全漏洞。以前受CVE-2021-3449漏洞影响，受影响的服务器可能会在收到未经身份验证的最终用户的恶意请求时崩溃。

密码学工程师菲利普瓦尔索达(Filippo Valsorda)在Twitter上表示，这个问题影响了互联网上的大多数OpenSSL服务器。

黑客可以简单地利用在握手期间发送给服务器的恶意请求(重新协商)，在最终用户和服务器之间建立安全连接。

维护者在通知(Portal)中写道，如果客户端发送恶意的重新协商ClientHello消息，OpenSSL服务器可能会崩溃。

如果原ClientHello中存在的TLS v1.2重协商忽略了signature_algorithms签名算法扩展，而包含了signature_algorithms_cert证书扩展，则会导致NULL指针解引用，从而导致崩溃和DoS (denial of service)攻击。

研究人员早在3月17日就报告了OpenSSL漏洞。幸运的是，在诺基亚开发者Peter Kastle和Samuel Sapalski的帮助下，OpenSSL现在已经正式关闭了这个漏洞。

此外，OpenSSL还修复了一个CVE-2021-3450漏洞，该漏洞可能在极端情况下发生，以防止应用程序检测和拒绝未由浏览器信任的证书颁发机构签名的TLS证书。

值得注意的是，OpenSSL 1.1.1及更高版本容易受到这些漏洞的攻击，而OpenSSL 1.0.2则不会，但建议您尽快升级到最新的OpenSSL 1.1k版本。