文档章节

【漏洞预警】OpenSSL 远程拒绝服务漏洞

小猪猪的风
 小猪猪的风
发布于 2016/10/31 13:52
字数 600
阅读 18
收藏 0

OpenSSL被曝存在一个影响广泛的远程匿名拒绝服务漏洞。

漏洞名称:“OpenSSL红色警戒”漏洞(SSL Death Alert)

漏洞编号:CVE-2016-8610

漏洞类型:远程匿名拒绝服务漏洞

漏洞描述:

在OpenSSL针对SSL/TLS协议握手过程的实现中,允许客户端重复发送打包的 "SSL3_RT_ALERT" -> "SSL3_AL_WARNING" 类型明文未定义警告包,且OpenSSL在实现中遇到未定义警告包时仍选择忽略并继续处理接下来的通信内容(如果有的话)。

漏洞危害:

攻击者可以容易的利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率。目前已确认该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。

受影响的OpenSSL版本:

OpenSSL 1.1.0

OpenSSL 1.0.2 - 1.0.2h

OpenSSL All 1.0.1

OpenSSL All 0.9.8

修复建议:

OpenSSL官方已经于2016-09-22完成源码层面的修复,建议立即跟进修复!

建议立即对受影响和可能受影响的业务进行安全补丁或升级到不受影响的版本。

不受影响的版本包括:

OpenSSL >= 1.0.2j

OpenSSL >= 1.1.0b

了解:什么是OpenSSL

OpenSSL 是一个开源的安全套接字层实现库,包括常见的密码算法(RSA、AES、DES等)、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。OpenSSL具有优秀的跨平台性能,OpenSSL支持Linux、Windows、BSD、Mac、VMS等平台。在HTTPS协议实际应用方面,它经常和Nginx、Apache等搭配使用提供安全的Web服务。(转自安全客 作者:360GearTeam )

参考:

[1] https://www.openssl.org

[2] https://access.redhat.com/security/cve/CVE-2016-8610/

[3] http://seclists.org/oss-sec/2016/q4/224

[4] http://security.360.cn/cve/CVE-2016-8610/ 

本文转载自:http://www.safedog.cn/news.html?id=1895

共有 人打赏支持
小猪猪的风
粉丝 14
博文 360
码字总数 60296
作品 0
厦门
私信 提问
“OpenSSL 红色警戒”漏洞公告

来自Qihoo 360 Gear Team的安全研究员石磊(360信息安全部)发现OpenSSL中存在一个影响广泛的远程匿名拒绝服务漏洞,该漏洞被命名为“SSL Death Alert” (即“OpenSSL红色警戒”漏洞),通用漏...

局长
2016/10/25
4.5K
13
OpenSSL 又现高危漏洞,心脏又要大出血?

还记得那个因为“心脏出血”而一夜成名的OpenSSL协议吗?它又有漏洞了。一组负责为加密协议OpenSSL做技术支持的开发人员,发现了一个新的神秘“高危”漏洞。OpenSSL是诸如Apache和Nginx这样的...

oschina
2015/07/08
6.3K
19
OpenSSL 发布多个更新版本,修复 DoS 漏洞

OpenSSL 发布了更新版本 —— 1.0.2a, 1.0.1m, 1.0.0r 和 0.9.8zf ,这些版本主要是定位 12 个缺陷,但并非所有 OpenSSL 版本都受这些问题影响。 这 12 个漏洞中最严重的是 CVE-2015-0291 ,...

oschina
2015/03/20
4.6K
10
OpenSSL 高危漏洞允许攻击者解密 HTTPS 流量

OpenSSL的维护者修复了一个高危漏洞, 该漏洞允许攻击者能获得解密HTTPS等加密流量的密钥。漏洞的潜在影响虽然严重,但需要满足多个条件才能被利用: 漏洞只存在于OpenSSL 1.0.2中;依靠Ope...

oschina
2016/02/02
2.7K
6
OpenSSL 更新以修复远程执行漏洞

OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不应该只将其作为一个库来使用,它还是一个多用途的、跨平台的密码工具。 OpenSSL的服务器端...

红薯
2010/11/17
638
1

没有更多内容

加载失败,请刷新页面

加载更多

jquery通过id显示隐藏

var $div3 = $('#div3'); 显示 $div3.show(); 隐藏 $div3.hide();

yan_liu
51分钟前
1
0
《乱世佳人》读书笔记及相关感悟3900字

《乱世佳人》读书笔记及相关感悟3900字: 之前一直听「荔枝」,后来不知怎的转向了「喜马拉雅」,一听就是三年。上班的时候听房产,买房了以后听装修,兴之所至时听旅行,分手后听亲密关系,...

原创小博客
54分钟前
1
0
大数据教程(9.6)map端join实现

上一篇文章讲了mapreduce配合实现join,本节博主将讲述在map端的join实现; 一、需求 实现两个“表”的join操作,其中一个表数据量小,一个表很大,这种场景在实际中非常常见,比如“订单日志...

em_aaron
今天
1
0
cookie与session详解

session与cookie是什么? session与cookie属于一种会话控制技术.常用在身份识别,登录验证,数据传输等.举个例子,就像我们去超市买东西结账的时候,我们要拿出我们的会员卡才会获取优惠.这时...

士兵7
今天
1
0
十万个为什么之为什么大家都说dubbo

Dubbo是什么? 使用背景 dubbo为什么这么流行, 为什么大家都这么喜欢用dubbo; 通过了解分布式开发了解到, 为适应访问量暴增,业务拆分后, 子应用部署在多台服务器上,而多台服务器通过可以通过d...

尾生
今天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部