【漏洞公告】CVE-2017-3733:OpenSSL Encrypt-Then-Mac renegotiation DDOS漏洞
2017年2月16日,OpenSSL官方发布了最新安全公告,该公告内容介绍OpenSSL开发团队已经修正了一个严重的拒绝服务(DoS)漏洞,漏洞标号为:cve-2017-3733。这是在短短两个月内发布的第二个安全更新,第一个解决了四个低危和中度严重漏洞的库。
该漏洞是由Red Hat 1月31日乔·奥顿报道,它被描述为“加密后MAC协商崩溃漏洞”。
有关该漏洞详情如下:
漏洞编号:
CVE-2017-3733
漏洞名称:
OpenSSL Encrypt-Then-Mac renegotiation DDOS漏洞
官方评级:
高危
漏洞描述:
如果加密后MAC插件谈不是在原来的握手的过程中,在重新协商握手过程中会导致崩溃(依赖于OpenSSL密码套件)。目前确定客户机和服务器受影响的。
漏洞利用条件和方式:
可以远程利用该漏洞执行代码。
漏洞影响范围:
OpenSSL 1.1.0
不受影响版本:OpenSSL version 1.0.2.
漏洞修复建议(或缓解措施):
目前官方已经提供最新版本[openssl-1.1.0e.tar.gz](https://www.openssl.org/source/openssl-1.1.0e.tar.gz "openssl-1.1.0e.tar.gz") ,请关注并及时升级到最新版本。
情报来源:
-
https://www.openssl.org/news/secadv/20170216.txt
-
https://www.baidu.com/baidu?tn=dealio_dg&wd=Encrypt-Then-Mac+renegotiation+crash
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
漏洞详情与应对措施
漏洞编号: CVE-2017-3733
漏洞名称: OpenSSL Encrypt-Then-Mac renegotiation DDoS漏洞
官方评级: 高危
漏洞描述: 此漏洞涉及加密后MAC协商过程,当加密后MAC插件未在初始握手时完成协商,而在后续的重新协商握手期间触发,可能导致服务端或客户端程序崩溃。这一问题取决于使用的OpenSSL密码套件,攻击者可利用此弱点进行远程拒绝服务攻击。
影响范围: - 受影响版本: OpenSSL 1.1.0 - 不受影响版本: OpenSSL version 1.0.2及以下版本不受此漏洞影响。
漏洞利用条件和方式: 攻击者能够通过网络远程发送特制的数据包,触发重新协商过程中的崩溃,从而导致服务中断。
漏洞修复建议: 为了缓解此安全风险,官方已发布更新版本openssl-1.1.0e。强烈建议所有使用OpenSSL 1.1.0版本的用户立即采取行动,升级至最新版本以修复该漏洞。请访问openssl.org获取最新的OpenSSL源代码包,并按照官方文档指引进行升级操作。
注意事项:
- 在执行软件升级前,请确保做好现有环境的备份,包括但不限于配置文件和数据,以防升级过程中发生意外。
- 验证升级后的系统功能是否正常,特别是与SSL/TLS相关的应用服务,确保没有因升级造成其他服务中断。
- 维持定期检查安全公告的习惯,及时响应新发现的安全漏洞,保持系统安全更新至最新状态。
参考资料角标:
以上信息基于公开的安全公告内容汇总而成,旨在为用户提供快速有效的应对策略。
