OpenSSL被曝存在一个影响广泛的远程匿名拒绝服务漏洞。
漏洞名称:“OpenSSL红色警戒”漏洞(SSL Death Alert)
漏洞编号:CVE-2016-8610
漏洞类型:远程匿名拒绝服务漏洞
漏洞描述:
在OpenSSL针对SSL/TLS协议握手过程的实现中,允许客户端重复发送打包的 "SSL3_RT_ALERT" -> "SSL3_AL_WARNING" 类型明文未定义警告包,且OpenSSL在实现中遇到未定义警告包时仍选择忽略并继续处理接下来的通信内容(如果有的话)。
漏洞危害:
攻击者可以容易的利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率。目前已确认该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。
受影响的OpenSSL版本:
OpenSSL 1.1.0
OpenSSL 1.0.2 - 1.0.2h
OpenSSL All 1.0.1
OpenSSL All 0.9.8
修复建议:
OpenSSL官方已经于2016-09-22完成源码层面的修复,建议立即跟进修复!
建议立即对受影响和可能受影响的业务进行安全补丁或升级到不受影响的版本。
不受影响的版本包括:
OpenSSL >= 1.0.2j
OpenSSL >= 1.1.0b
了解:什么是OpenSSL
OpenSSL 是一个开源的安全套接字层实现库,包括常见的密码算法(RSA、AES、DES等)、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。OpenSSL具有优秀的跨平台性能,OpenSSL支持Linux、Windows、BSD、Mac、VMS等平台。在HTTPS协议实际应用方面,它经常和Nginx、Apache等搭配使用提供安全的Web服务。(转自安全客 作者:360GearTeam )
参考:
[1] https://www.openssl.org
[2] https://access.redhat.com/security/cve/CVE-2016-8610/
[3] http://seclists.org/oss-sec/2016/q4/224
[4] http://security.360.cn/cve/CVE-2016-8610/