文档章节

【漏洞预警】OpenSSL 远程拒绝服务漏洞

小猪猪的风
 小猪猪的风
发布于 2016/10/31 13:52
字数 600
阅读 16
收藏 0

OpenSSL被曝存在一个影响广泛的远程匿名拒绝服务漏洞。

漏洞名称:“OpenSSL红色警戒”漏洞(SSL Death Alert)

漏洞编号:CVE-2016-8610

漏洞类型:远程匿名拒绝服务漏洞

漏洞描述:

在OpenSSL针对SSL/TLS协议握手过程的实现中,允许客户端重复发送打包的 "SSL3_RT_ALERT" -> "SSL3_AL_WARNING" 类型明文未定义警告包,且OpenSSL在实现中遇到未定义警告包时仍选择忽略并继续处理接下来的通信内容(如果有的话)。

漏洞危害:

攻击者可以容易的利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率。目前已确认该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。

受影响的OpenSSL版本:

OpenSSL 1.1.0

OpenSSL 1.0.2 - 1.0.2h

OpenSSL All 1.0.1

OpenSSL All 0.9.8

修复建议:

OpenSSL官方已经于2016-09-22完成源码层面的修复,建议立即跟进修复!

建议立即对受影响和可能受影响的业务进行安全补丁或升级到不受影响的版本。

不受影响的版本包括:

OpenSSL >= 1.0.2j

OpenSSL >= 1.1.0b

了解:什么是OpenSSL

OpenSSL 是一个开源的安全套接字层实现库,包括常见的密码算法(RSA、AES、DES等)、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。OpenSSL具有优秀的跨平台性能,OpenSSL支持Linux、Windows、BSD、Mac、VMS等平台。在HTTPS协议实际应用方面,它经常和Nginx、Apache等搭配使用提供安全的Web服务。(转自安全客 作者:360GearTeam )

参考:

[1] https://www.openssl.org

[2] https://access.redhat.com/security/cve/CVE-2016-8610/

[3] http://seclists.org/oss-sec/2016/q4/224

[4] http://security.360.cn/cve/CVE-2016-8610/ 

本文转载自:http://www.safedog.cn/news.html?id=1895

共有 人打赏支持
小猪猪的风
粉丝 14
博文 360
码字总数 60296
作品 0
厦门
U-Mail邮件系统客户无需担心OpenSSL心脏出血漏洞

2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。 很多客户打电话来...

小燕
2014/04/23
0
0
Linux系统OpenSSL版本升级

我们系统安装的OpenSSL存在漏洞,需要升级。 查看OpenSSL的版本: # /usr/bin/openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 很多系统存在心脏出血(heart breeding)的漏洞,所以要升级...

LionelShen
2017/10/18
0
0
华为公有云linux服务器上ssh登录的安全加固

linux服务器主要是通过ssh进行登录,但是在华为公有云上,如何保证登录安全性呢?本次以centos7为例,对ssh登录进行安全加固 修改默认端口 在linux上,修改ssh登录的默认端口,比如修改到500...

羊草
07/10
0
0
Apache服务器OpenSSL升级

OpenSSL心血漏洞吵的风生水起的。。 起初,公司几台rds的小业务机被通知修补OpenSSL漏洞,这几台机器都是单独小业务,当时停掉,找了个简单的文档便将它升级OK(有的是nginx,有的是resin)。...

陈延宗
06/29
0
0
OpenSSL“心脏出血”漏洞爆发和修复方法

4月8日消息,昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞(即OpenSSL“心脏出血”漏洞),该漏洞可随机泄漏https服务器64k内存,内存中可能会含有程序源码、用户http原始请求、用户cooki...

小猪猪的风
2014/04/13
0
0

没有更多内容

加载失败,请刷新页面

加载更多

arts-week10

Algorithm 905. Sort Array By Parity - LeetCode Review Who’s Afraid of the Big Bad Preloader? 一文读懂前端缓存 一个网络请求3个步骤:请求,处理,响应,而前端缓存主要在请求处响应这两步...

yysue
今天
4
0
00.编译OpenJDK-8u40的整个过程

前言 历经2天的折腾总算把OpenJDK给编译成功了,要说为啥搞这个,还得从面试说起,最近出去面试经常被问到JVM的相关东西,总感觉自己以前学的太浅薄,所以回来就打算深入学习,目标把《深入理...

凌晨一点
今天
5
0
python: 一些关于元组的碎碎念

初始化元组的时候,尤其是元组里面只有一个元素的时候,会出现一些很蛋疼的情况: def checkContentAndType(obj): print(obj) print(type(obj))if __name__=="__main__": tu...

Oh_really
昨天
6
2
jvm crash分析工具

介绍一款非常好用的jvm crash分析工具,当jvm挂掉时,会产生hs_err_pid.log。里面记录了jvm当时的运行状态以及错误信息,但是内容量比较庞大,不好分析。所以我们要借助工具来帮我们。 Cras...

xpbob
昨天
158
0
Qt编写自定义控件属性设计器

以前做.NET开发中,.NET直接就集成了属性设计器,VS不愧是宇宙第一IDE,你能够想到的都给你封装好了,用起来不要太爽!因为项目需要自从全面转Qt开发已经6年有余,在工业控制领域,有一些应用...

飞扬青云
昨天
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部