阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3672阅读
  • 2回复

[安全漏洞公告专区][漏洞预警]OpenSSL OCSP 状态请求扩展拒绝服务漏洞(CVE 2016-6304)

发帖
29
云币
51

漏洞危害描述

OpenSSL OCSP 状态请求扩展存在严重漏洞,该漏洞令攻击者能耗尽服务内存。利用该漏洞,使得受害服务器在每次协议重新协商时分配一段新的 OCSP id 内存。不断重复此过程可令服务器内存无限消耗。值得注意的是,即使服务器并未配置 OCSP,服务器还是会受到此漏洞的影响。

理论上,一个 OCSP id 最多 64KB。攻击者可以不断发起协商请求,令服务器每次内存消耗近 64KB。事实上,在 OpenSSL 1.0.2 版本中,ClientHello 数据包的长度最大只能为 16KB,因此每次重新协商只能令服务器内存消耗约 16KB。但在最新的 1.1.0 版本中,对 ClientHello 长度的限制增加到 128KB,因此对使用 1.1.0 版本的服务器,每次重新协商会令内存消耗近 128KB。

漏洞影响范围

  • OpenSSL 1.1.0
  • OpenSSL 1.0.2 prior to 1.0.2h
  • OpenSSL 1.0.1 prior to 1.0.1t

漏洞修复方案

  1. 将 OpenSSL 升级到最新版:

参考资料

级别: 论坛版主
发帖
4292
云币
2524

只看该作者 沙发  发表于: 2016-12-03
感谢您的分享!
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 板凳  发表于: 2016-12-04
感谢您的分享!
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)