开发者社区> 问答> 正文

[漏洞预警]OpenSSL OCSP 状态请求扩展拒绝服务漏洞(CVE 2016-6304)



漏洞危害描述


OpenSSL OCSP 状态请求扩展存在严重漏洞,该漏洞令攻击者能耗尽服务器内存。利用该漏洞,使得受害服务器在每次协议重新协商时分配一段新的 OCSP id 内存。不断重复此过程可令服务器内存无限消耗。值得注意的是,即使服务器并未配置 OCSP,服务器还是会受到此漏洞的影响。
理论上,一个 OCSP id 最多 64KB。攻击者可以不断发起协商请求,令服务器每次内存消耗近 64KB。事实上,在 OpenSSL 1.0.2 版本中,ClientHello 数据包的长度最大只能为 16KB,因此每次重新协商只能令服务器内存消耗约 16KB。但在最新的 1.1.0 版本中,对 ClientHello 长度的限制增加到 128KB,因此对使用 1.1.0 版本的服务器,每次重新协商会令内存消耗近 128KB。

漏洞影响范围

  • OpenSSL 1.1.0
  • OpenSSL 1.0.2 prior to 1.0.2h
  • OpenSSL 1.0.1 prior to 1.0.1t


漏洞修复方案

  1. 将 OpenSSL 升级到最新版:


参考资料

展开
收起
英鸷 2016-09-22 23:12:42 4851 0
2 条回答
写回答
取消 提交回答
  • R&S网络资深工程师 ,阿里云论坛官方版主,阿里云云计算ACP,春考教学网站长,IT技术晋级之路专辑作者
    感谢您的分享!
    2016-12-04 16:35:10
    赞同 展开评论 打赏
  • 码农|Coder| Pythonista
    感谢您的分享!
    2016-12-03 22:51:14
    赞同 展开评论 打赏
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
如何产生威胁情报-高级恶意攻击案例分析 立即下载
低代码开发师(初级)实战教程 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载

相关实验场景

更多