昨日,OpenSSL公布了一些关于高危漏洞的安全信息,部分信息如下:

漏洞概述:

OCSP状态请求延期导致无限的内存增长(CVE-2016-6304)

澳门新葡亰,OpenSSL OCSP
状态请求扩展存在严重漏洞,该漏洞令恶意客户端能耗尽服务器内存。利用该漏洞,能使默认配置的服务器在每次协议重商时分配一段
OCSP ids 内存, 不断重复协商可令服务器内存无限消耗,即使服务器并未配置
OCSP。理论上,一个 OCSP id 最多 65,535
字节,攻击者可以不断重商令服务器每次内存消耗近 64K。但从实现来说,在
OpenSSL 1.0.2 版本中对 ClientHello 长度做了 16,384
字节的限制,因此每次重商只能令服务器内存消耗约 16K。但在最新的 1.1.0
版本中,对 ClientHello 长度的限制增加到 131,396 字节,那么对使用 1.1.0
版本的服务器,每次重商会令内存消耗近 64K。

严重级别:高等

严重程度:高

影响版本:

  • 恶意的客户端会发送一个过大的OCSP状态请求延期。如果这个客户端不断请求重新协商,每次发送大量OCSP状态请求延期,这会使服务器的内存无限消耗。这最终会因为内存被耗尽而导致DoS攻击。使用默认配置的服务器是容易遭受攻击的,即使他们不支持OSCP。通过使用“无OCSP”配置时间选项不会受影响。

  • 服务器使用OpenSSL
    1.0.1g之前的版本并使用默认配置不会易遭受攻击,除非一个应用程序明确允许支持OCSP,建议

    OpenSSL 1.1.0用户升级到1.1.0a,OpenSSL
    1.0.2用户升级到1.0.2i,OpenSSL 1.0.1用户升级到1.0.1u

  • 这个问题于2016/08/29由Shi Leica(Gear Team,Qihoo 360
    Inc)报告,由OpenSSL开发团队的Matt Caswell修复

OpenSSL 0.9.8h through 0.9.8v
OpenSSL 1.0.1 through 1.0.1t
OpenSSL 1.0.2 through 1.0.1h
OpenSSL 1.1.0

SSL_peek()挂断空记录(CVE-2016-6305)

不受影响:
OpenSSL 1.0.1u
OpenSSL 1.0.2i
OpenSSL 1.1.0a

严重级别:中等

默认配置的 OpenSSL server 是受影响的(包括:OpenSSL 0.9.8h through
0.9.8v、OpenSSL 1.0.1 through 1.0.1t、OpenSSL 1.0.2 through
1.0.1h、OpenSSL 1.1.0)。 Nginx 0.8.23 以前的版本会受此影响,Apache
2.0以前及 SSLInsecureRenegotiation 配置项为 on 是都会受此影响。

  • OpenSSL 1.1.0 SSL/TLS
    会在发送一个会话给SSL_peek()的期间且发送一个空记录时挂起。这可能会被恶意的同行通过DoS攻击利用。建议使用OpenSSL
    1.1.0的用户升级到 1.1.0a

  • 这个问题于2016/09/10由Alex Gaynor报告,由OpenSSL开发团队的Matt
    Caswell修复

漏洞危害:

网站地图xml地图