【漏洞公告】CVE-2016-8610“OpenSSL Death Alert”漏洞公告-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

【漏洞公告】CVE-2016-8610“OpenSSL Death Alert”漏洞公告

正禾 2016-10-26 16:53:03 6441
  近日,OpenSSL官方宣布修复了一个影响广泛的远程匿名拒绝服务漏洞,该漏洞被命名为“SSL Death Alert” (即“OpenSSL红色警戒”漏洞),通用漏洞编号CVE-2016-8610。
  经过阿里云安全团队确认,攻击者可以利用该漏洞在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率,该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。

漏洞编号:CVE-2016-8610

漏洞名称: “SSL Death Alert”- 红色警戒漏洞

漏洞危害:
  在 OpenSSL 针对 SSL/TLS 协议握手过程的实现中,允许客户端重复发送打包的SSL3_RT_ALERT -> SSL3_AL_WARNING类型明文未定义警告包。同时,OpenSSL 的代码中在遇到未定义警告包时会选择忽略并继续处理接下来的通信内容(如果有的话)。攻击者可以利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致进程100%的 CPU 使用率。

受影响范围:
  • OpenSSL All 0.9.8
  • OpenSSL All 1.0.1
  • OpenSSL 1.0.2 through 1.0.2h
  • OpenSSL 1.1.0

不受影响的版本:
  • OpenSSL 1.0.2i, 1.0.2j
  • OpenSSL 1.1.0a, 1.1.0b

修复方案:
   将OpenSSL升级到最新版:
  1.OpenSSL 1.1.0应升级到1.1.0b或更高版本
  2.OpenSSL 1.0.2应升级到1.0.2j或更高版本
  3.OpenSSL 1.0.1应升级到1.0.2或更高版本


参考资料:

[1] https://www.openssl.org/
[2] https://access.redhat.com/security/cve/CVE-2016-8610/
[3] https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=af58be768ebb690f78530f796e92b8ae5c9a4401
[4] http://seclists.org/oss-sec/2016/q4/224












云安全 安全 应用服务中间件 网络安全 nginx
分享到
取消 提交回答
全部回答(1)
+ 订阅

云安全开发者的大本营

推荐文章
相似问题