当地时间12月8日，openssl发布安全通告公布了一个空指

当地时间12月8日，OpenSSL发布安全通告公布了一个空指针解引用漏洞（CVE-2020-1971），官方评级高危。

漏洞存在于OpenSSL的函数GENERAL_NAME_cmp中，GENERAL_NAME_cmp函数可用来比较GENERAL_NAME的不同实例，以查看它们是否相等。当被比较的两个GENERAL_NAME都包含EDIPartyName时，将触发空指针解引用，造成程序崩溃最终导致拒绝服务。

因此，如果攻击者可以控制被比较的两个参数则就有可能触发崩溃。例如，欺骗客户端或服务器，使其根据恶意CRL检查恶意证书。

参考链接：

OpenSSL 1.0.2（已不再受公开支持）

官方已发布修复了漏洞的新版本，建议受影响用户尽快升级。