【漏洞公告】CVE-2017-3733:OpenSSL Encrypt-Then-Mac renegotiation DDOS漏洞

2017年2月16日，OpenSSL官方发布了最新安全公告，该公告内容介绍OpenSSL开发团队已经修正了一个严重的拒绝服务（DoS）漏洞，漏洞标号为：cve-2017-3733。这是在短短两个月内发布的第二个安全更新，第一个解决了四个低危和中度严重漏洞的库。
该漏洞是由Red Hat 1月31日乔·奥顿报道，它被描述为“加密后MAC协商崩溃漏洞”。
有关该漏洞详情如下：

漏洞编号：
CVE-2017-3733


漏洞名称：
OpenSSL Encrypt-Then-Mac renegotiation DDOS漏洞


官方评级：
高危


漏洞描述：
如果加密后MAC插件谈不是在原来的握手的过程中，在重新协商握手过程中会导致崩溃（依赖于OpenSSL密码套件）。目前确定客户机和服务器受影响的。


漏洞利用条件和方式：
可以远程利用该漏洞执行代码。


漏洞影响范围：
OpenSSL 1.1.0
不受影响版本：OpenSSL version 1.0.2.


漏洞修复建议(或缓解措施)：
目前官方已经提供最新版本[openssl-1.1.0e.tar.gz](https://www.openssl.org/source/openssl-1.1.0e.tar.gz "openssl-1.1.0e.tar.gz") ，请关注并及时升级到最新版本。


情报来源：
- https://www.openssl.org/news/secadv/20170216.txt
- https://www.baidu.com/baidu?tn=dealio_dg&wd=Encrypt-Then-Mac+renegotiation+crash