开发者社区> 问答> 正文

【漏洞公告】CVE-2016-8610“OpenSSL Death Alert”漏洞公告

  近日,OpenSSL官方宣布修复了一个影响广泛的远程匿名拒绝服务漏洞,该漏洞被命名为“SSL Death Alert” (即“OpenSSL红色警戒”漏洞),通用漏洞编号CVE-2016-8610。
  经过阿里云安全团队确认,攻击者可以利用该漏洞在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率,该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。

漏洞编号:CVE-2016-8610

漏洞名称: “SSL Death Alert”- 红色警戒漏洞

漏洞危害:
  在 OpenSSL 针对 SSL/TLS 协议握手过程的实现中,允许客户端重复发送打包的SSL3_RT_ALERT -> SSL3_AL_WARNING类型明文未定义警告包。同时,OpenSSL 的代码中在遇到未定义警告包时会选择忽略并继续处理接下来的通信内容(如果有的话)。攻击者可以利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致进程100%的 CPU 使用率。

受影响范围:

  • OpenSSL All 0.9.8
  • OpenSSL All 1.0.1
  • OpenSSL 1.0.2 through 1.0.2h
  • OpenSSL 1.1.0

不受影响的版本:
  • OpenSSL 1.0.2i, 1.0.2j
  • OpenSSL 1.1.0a, 1.1.0b

修复方案:
   将OpenSSL升级到最新版:
  1.OpenSSL 1.1.0应升级到1.1.0b或更高版本
  2.OpenSSL 1.0.2应升级到1.0.2j或更高版本
  3.OpenSSL 1.0.1应升级到1.0.2或更高版本


参考资料:

[1] https://www.openssl.org/
[2] https://access.redhat.com/security/cve/CVE-2016-8610/
[3] https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=af58be768ebb690f78530f796e92b8ae5c9a4401
[4] http://seclists.org/oss-sec/2016/q4/224












展开
收起
正禾 2016-10-26 16:53:03 8352 0
1 条回答
写回答
取消 提交回答
  • 码农|Coder| Pythonista
    感谢您的分享!
    2016-12-03 22:49:51
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载