【漏洞预警】OpenSSL 远程拒绝服务漏洞

OpenSSL被曝存在一个影响广泛的远程匿名拒绝服务漏洞。

漏洞名称:“OpenSSL红色警戒”漏洞(SSL Death Alert)

漏洞编号:CVE-2016-8610

漏洞类型:远程匿名拒绝服务漏洞

漏洞描述:

在OpenSSL针对SSL/TLS协议握手过程的实现中,允许客户端重复发送打包的 "SSL3_RT_ALERT" -> "SSL3_AL_WARNING" 类型明文未定义警告包,且OpenSSL在实现中遇到未定义警告包时仍选择忽略并继续处理接下来的通信内容(如果有的话)。

漏洞危害:

攻击者可以容易的利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率。目前已确认该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。

受影响的OpenSSL版本:

OpenSSL 1.1.0

OpenSSL 1.0.2 - 1.0.2h

OpenSSL All 1.0.1

OpenSSL All 0.9.8

修复建议:

OpenSSL官方已经于2016-09-22完成源码层面的修复,建议立即跟进修复!

建议立即对受影响和可能受影响的业务进行安全补丁或升级到不受影响的版本。

不受影响的版本包括:

OpenSSL >= 1.0.2j

OpenSSL >= 1.1.0b

了解:什么是OpenSSL

OpenSSL 是一个开源的安全套接字层实现库,包括常见的密码算法(RSA、AES、DES等)、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。OpenSSL具有优秀的跨平台性能,OpenSSL支持Linux、Windows、BSD、Mac、VMS等平台。在HTTPS协议实际应用方面,它经常和Nginx、Apache等搭配使用提供安全的Web服务。(转自安全客 作者:360GearTeam )

参考:

[1] https://www.openssl.org

[2] https://access.redhat.com/security/cve/CVE-2016-8610/

[3] http://seclists.org/oss-sec/2016/q4/224

[4] http://security.360.cn/cve/CVE-2016-8610/ 

转载于:https://my.oschina.net/safedog/blog/778523

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值