- 求职 : Linux运维
- 论坛徽章:
- 203
|
本帖最后由 lyhabc 于 2016-10-30 11:05 编辑
您好,近日OpenSSL官方发布了一个影响广泛的远程匿名拒绝服务漏洞(漏洞代号:SSL Death Alert”,漏洞编号:CVE-2016-8610) ,即“OpenSSL红色警戒”漏洞,利用该漏洞攻击者可通过多个连接重复发送大量重叠警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率,导致拒绝服务。
该漏洞会影响大部分的OpenSSL版本,同时受影响的还包括使用 OpenSSL 库的服务(如提供HTTPS SSL或TLS协议服务的Nginx)。
鉴于此,我们强烈建议您尽快确认您的系统是否受影响,如受影响,请尽快进行升级修复。
漏洞详情如下:
【风险概述】
OpenSSL 1.1.0a版在针对SSL/TLS协议握手过程的实现中,允许客户端重复发送打包的 "SSL3_RT_ALERT" -> "SSL3_AL_WARNING" 类型明文未定义警告包,且OpenSSL在实现中遇到未定义警告包时仍选择忽略并继续处理接下来的通信内容(如果有的话)。攻击者可以容易的利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率。
【影响版本】
1)Openssl 0.9.8分支全部版本受影响
2)Openssl 1.0.1分支全部版本受影响
3) Openssl 1.0.2分支除1.0.2i、1.0.2j版本外,全部版本受影响
4)Openssl 1.1.0分支除1.1.0a、1.1.0b版本外,全部版本受影响
【不受影响版本】
OpenSSL >= 1.0.2j
OpenSSL >= 1.1.0b
【修复建议】
将您的OpenSSL 升级到1.1.0b或1.0.2j最新版本,源码包安装包下载地址:https://www.openssl.org/source/
【温馨提醒】:官方已经不再维护0.9.8分支,1.0.1分支年底也将停止维护,官方不再出漏洞补丁,建议您尽早切换1.1.0或1.0.2版本,以避免后期官方出漏洞后无法立即进行更新修复。
【漏洞参考】
1)https://www.openssl.org/
2) https://git.openssl.org/gitweb/? ... f796e92b8ae5c9a4401
3)https://access.redhat.com/security/cve/CVE-2016-8610/
4)http://seclists.org/oss-sec/2016/q4/224
|
|