开发者社区> 问答> 正文

[漏洞预警]OpenSSL OCSP 状态请求扩展拒绝服务漏洞(CVE 2016-6304)

英鸷 2016-09-22 23:12:42 3749



漏洞危害描述


OpenSSL OCSP 状态请求扩展存在严重漏洞,该漏洞令攻击者能耗尽服务器内存。利用该漏洞,使得受害服务器在每次协议重新协商时分配一段新的 OCSP id 内存。不断重复此过程可令服务器内存无限消耗。值得注意的是,即使服务器并未配置 OCSP,服务器还是会受到此漏洞的影响。
理论上,一个 OCSP id 最多 64KB。攻击者可以不断发起协商请求,令服务器每次内存消耗近 64KB。事实上,在 OpenSSL 1.0.2 版本中,ClientHello 数据包的长度最大只能为 16KB,因此每次重新协商只能令服务器内存消耗约 16KB。但在最新的 1.1.0 版本中,对 ClientHello 长度的限制增加到 128KB,因此对使用 1.1.0 版本的服务器,每次重新协商会令内存消耗近 128KB。

漏洞影响范围

  • OpenSSL 1.1.0
  • OpenSSL 1.0.2 prior to 1.0.2h
  • OpenSSL 1.0.1 prior to 1.0.1t


漏洞修复方案

  1. 将 OpenSSL 升级到最新版:


参考资料

安全
分享到
取消 提交回答
全部回答(2)
添加回答
+ 订阅

云安全开发者的大本营

推荐文章
相似问题
推荐课程