OpenSSL红色警戒漏洞安全预警

2016-11-28 16:57:28 admin

Snip20161027_114.png

尊敬的网司令用户:

OpenSSL官方修复了一个远程匿名拒绝服务漏洞“SSL Death Alert”(OpenSSL红色警戒,CVE-2016-8610)。攻击者可以利用漏洞在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率。该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。

影响范围

OpenSSL All 0.9.8

OpenSSL All 1.0.1

OpenSSL 1.0.2 through 1.0.2h

OpenSSL 1.1.0

修复方案

升级OpenSSL 为1.1.0b或1.0.2j

漏洞详情

在OpenSSL针对SSL/TLS协议握手过程的实现中,允许客户端重复发送打包的 “SSL3_RT_ALERT” -> “SSL3_AL_WARNING”类型明文未定义警告包,且OpenSSL在实现中遇到未定义警告包时仍选择忽略并继续处理接下来的通信内容。攻击者可以容易的利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率。所有使用OpenSSL版本库中的SSL/TLS协议都是可能受影响的, 其中提供HTTPS服务的Nginx可以容易的被攻击到无法提供服务。

参考链接

https://www.openssl.org/

http://seclists.org/oss-sec/2016/q4/224

http://www.openwall.com/lists/oss-security/2016/10/24/3