阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 5707阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2016-8610“OpenSSL Death Alert”漏洞公告

级别: 论坛版主
发帖
241
云币
478
  近日,OpenSSL官方宣布修复了一个影响广泛的远程匿名拒绝服务漏洞,该漏洞被命名为“SSL Death Alert” (即“OpenSSL红色警戒”漏洞),通用漏洞编号CVE-2016-8610。 wt}%2x} x  
  经过阿里安全团队确认,攻击者可以利用该漏洞在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率,该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。 k%l_N)38  
TmYP_5g:  
漏洞编号:CVE-2016-8610 ]<q}WjXD'  
bR'mV-2'  
漏洞名称:“SSL Death Alert”-红色警戒漏洞 W{A #]r l  
kG$E tE#  
漏洞危害: SH vaV[C  
  在 OpenSSL 针对 SSL/TLS 协议握手过程的实现中,允许客户端重复发送打包的SSL3_RT_ALERT -> SSL3_AL_WARNING类型明文未定义警告包。同时,OpenSSL 的代码中在遇到未定义警告包时会选择忽略并继续处理接下来的通信内容(如果有的话)。攻击者可以利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致进程100%的 CPU 使用率。 B`*f(  
zkh hN"bX  
受影响范围: -SvTg{Q{la  
  • OpenSSL All 0.9.8
  • OpenSSL All 1.0.1
  • OpenSSL 1.0.2 through 1.0.2h
  • OpenSSL 1.1.0
~M ,{ _  
不受影响的版本: Uvh~B^6  
  • OpenSSL 1.0.2i, 1.0.2j
  • OpenSSL 1.1.0a, 1.1.0b
^XBzZ!h|  
修复方案: lMC{SfdH  
   将OpenSSL升级到最新版: ou'~{-_xd  
  1.OpenSSL 1.1.0应升级到1.1.0b或更高版本 I /On3"U%  
  2.OpenSSL 1.0.2应升级到1.0.2j或更高版本 N-2([v  
  3.OpenSSL 1.0.1应升级到1.0.2或更高版本 6 u-$  
!/j,hO4Z4  
?< cM^$lI>  
参考资料 /2;dH]o0  
GIm " )}W  
[1] https://www.openssl.org/ <vB<`   
[2] https://access.redhat.com/security/cve/CVE-2016-8610/ ~)q g  
[3] https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=af58be768ebb690f78530f796e92b8ae5c9a4401 qKdS7SoS  
[4] http://seclists.org/oss-sec/2016/q4/224 ?;|@T ty%  
BXg!zW%+  
0#oBXu  
j8GY`f#  
Wy<[(Pd   
Y?yo\(Cdx  
.u1X+P7  
8Q2]*%  
AGOx@;w  
:qKF58W  
&<,SV^w ag  
"S5S|dBc  
mxQR4"]jY  
[ 此帖被正禾在2016-10-26 17:45重新编辑 ]
级别: 论坛版主
发帖
4292
云币
2524

只看该作者 沙发  发表于: 2016-12-03
感谢您的分享!
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 板凳  发表于: 2016-12-04
流血的修复方面呢
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)