【漏洞公告】CVE-2016-8610“OpenSSL Death Alert”漏洞公告

  近日，OpenSSL官方宣布修复了一个影响广泛的远程匿名拒绝服务漏洞，该漏洞被命名为“SSL Death Alert” (即“OpenSSL红色警戒”漏洞)，通用漏洞编号CVE-2016-8610。
  经过阿里云安全团队确认，攻击者可以利用该漏洞在一个消息中打包大量未定义类型警告包，使服务或进程陷入无意义的循环，从而导致占用掉服务或进程100%的CPU使用率，该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。

漏洞编号：CVE-2016-8610

漏洞名称： “SSL Death Alert”- 红色警戒漏洞

漏洞危害：
  在 OpenSSL 针对 SSL/TLS 协议握手过程的实现中，允许客户端重复发送打包的SSL3_RT_ALERT -> SSL3_AL_WARNING类型明文未定义警告包。同时，OpenSSL 的代码中在遇到未定义警告包时会选择忽略并继续处理接下来的通信内容（如果有的话）。攻击者可以利用该缺陷在一个消息中打包大量未定义类型警告包，使服务或进程陷入无意义的循环，从而导致进程100%的 CPU 使用率。

受影响范围：

• OpenSSL All 0.9.8
• OpenSSL All 1.0.1
• OpenSSL 1.0.2 through 1.0.2h
• OpenSSL 1.1.0

• OpenSSL 1.0.2i, 1.0.2j
• OpenSSL 1.1.0a, 1.1.0b