开发者社区> 问答> 正文

【漏洞公告】CVE-2017-3733:OpenSSL Encrypt-Then-Mac renegotiation DDOS漏洞

正禾 2017-02-17 16:02:22 2385
2017年2月16日,OpenSSL官方发布了最新安全公告,该公告内容介绍OpenSSL开发团队已经修正了一个严重的拒绝服务(DoS)漏洞,漏洞标号为:cve-2017-3733。这是在短短两个月内发布的第二个安全更新,第一个解决了四个低危和中度严重漏洞的库。
该漏洞是由Red Hat 1月31日乔·奥顿报道,它被描述为“加密后MAC协商崩溃漏洞”。
有关该漏洞详情如下:

漏洞编号:
CVE-2017-3733


漏洞名称:
OpenSSL Encrypt-Then-Mac renegotiation DDOS漏洞


官方评级:
高危


漏洞描述:
如果加密后MAC插件谈不是在原来的握手的过程中,在重新协商握手过程中会导致崩溃(依赖于OpenSSL密码套件)。目前确定客户机和服务器受影响的。


漏洞利用条件和方式:
可以远程利用该漏洞执行代码。


漏洞影响范围:
OpenSSL 1.1.0
不受影响版本:OpenSSL version 1.0.2.


漏洞修复建议(或缓解措施):
目前官方已经提供最新版本[openssl-1.1.0e.tar.gz](https://www.openssl.org/source/openssl-1.1.0e.tar.gz "openssl-1.1.0e.tar.gz") ,请关注并及时升级到最新版本。


情报来源:
- https://www.openssl.org/news/secadv/20170216.txt
- https://www.baidu.com/baidu?tn=dealio_dg&wd=Encrypt-Then-Mac+renegotiation+crash
分享到
取消 提交回答
全部回答(0)
+ 订阅

时时分享云计算技术内容,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

推荐文章