ArsTechnica報導稱，OpenSSL是被許多網站和加密電子郵件服務提供商所廣泛採納的軟件庫，但不久前，其曝出了一個可能導致服務器被攻擊崩潰的高危安全漏洞。據悉，OpenSSL提供了久經考驗的加密功能，且實現了基於TLS的安全傳輸協議。作為接替SSL安全套接層的後繼協議，其用於在互聯網服務器和最終用戶客戶端之間的數據流加密。

TLS 應用程序的開發者們，可藉助OpenSSL 來節省重複工作，以避免專家們並不建議的常見短板。

當黑客於2014 年開始利用開源代碼庫中的一個嚴重漏洞時，OpenSSL 在互聯網安全領域發揮的關鍵作用，就得到了充分的體現。

據悉，黑客可利用這些漏洞，從世界各地的服務器竊取加密密鑰等敏感的客戶信息。“心臟出血”（Heartbleed）漏洞更是僅憑幾行代碼就掀翻了銀行、新聞站點、律所等大量組織機構。

本週四，OpenSSL 維護團隊披露其已經修補了一個嚴重的安全漏洞。此前受CVE-2021-3449 漏洞的影響，受影響的服務器可能在收到未經驗證的最終用戶惡意請求時發生崩潰。

密碼學工程師Filippo Valsorda 在Twitter 上表示，問題影響互聯網上的大多數OpenSSL 服務器。

且黑客只需利用握手期間向服務器發送的惡意請求（重新協商），便可在最終用戶和服務器之間建立安全連接。

維護人員在一份通報（傳送門）中寫到：若從客戶端發送了經過惡意之作的重協商ClientHello消息，則OpenSSL服務器可能發生崩潰。

若最初的ClientHello 中存在的TLS v1.2 重協商省略了signature_algorithms 簽名算法擴展名、但包括了signature_algorithms_cert 證書擴展名，就會導致NULL 指針取消引用、從而引發崩潰和拒絕服務（DoS）攻擊。

對於這個OpenSSL 高危漏洞，研究人員早在3 月17 日就進行了上報。慶幸的是，在諾基亞開發人員Peter Kästle 和Samuel Sapalski 的幫助下，OpenSSL 現已正式堵上這一漏洞。

此外OpenSSL 還修復了一個可能在極端情況下發生的CVE-2021-3450 漏洞，以阻止應用程序檢測、和拒絕未由瀏覽器信任的證書頒發機構簽名的TLS 證書。

需要指出的是，OpenSSL 1.1.1h 及更高版本易受到相關漏洞攻擊的影響，而OpenSSL 1.0.2 並不在其中，不過還是建議大家盡快升級到最新的OpenSSL 1.1.1k 版本。