[漏洞预警]OpenSSL OCSP 状态请求扩展拒绝服务漏洞(CVE 2016-6304)
漏洞危害描述
OpenSSL OCSP 状态请求扩展存在严重漏洞,该漏洞令攻击者能耗尽服务器内存。利用该漏洞,使得受害服务器在每次协议重新协商时分配一段新的 OCSP id 内存。不断重复此过程可令服务器内存无限消耗。值得注意的是,即使服务器并未配置 OCSP,服务器还是会受到此漏洞的影响。
理论上,一个 OCSP id 最多 64KB。攻击者可以不断发起协商请求,令服务器每次内存消耗近 64KB。事实上,在 OpenSSL 1.0.2 版本中,ClientHello 数据包的长度最大只能为 16KB,因此每次重新协商只能令服务器内存消耗约 16KB。但在最新的 1.1.0 版本中,对 ClientHello 长度的限制增加到 128KB,因此对使用 1.1.0 版本的服务器,每次重新协商会令内存消耗近 128KB。
漏洞影响范围
- OpenSSL 1.1.0
- OpenSSL 1.0.2 prior to 1.0.2h
- OpenSSL 1.0.1 prior to 1.0.1t
漏洞修复方案
- 将 OpenSSL 升级到最新版:
- OpenSSL 1.1.0 应升级到 1.1.0a 或更高版本。(下载地址: http://tb.cn/XrUnkSx)
- OpenSSL 1.0.2 应升级到 1.0.2i 或更高版本。 (下载地址: http://tb.cn/QsTnkSx)
- OpenSSL 1.0.1 应升级到 1.0.1u 或更高版本。(下载地址: http://tb.cn/J8ankSx)
参考资料
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
