阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 5682阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2016-8610“OpenSSL Death Alert”漏洞公告

级别: 论坛版主
发帖
241
云币
478
  近日,OpenSSL官方宣布修复了一个影响广泛的远程匿名拒绝服务漏洞,该漏洞被命名为“SSL Death Alert” (即“OpenSSL红色警戒”漏洞),通用漏洞编号CVE-2016-8610。 u7/M>YJ`T  
  经过阿里安全团队确认,攻击者可以利用该漏洞在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率,该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。 EU+sTe>  
pS%Az)3RZ  
漏洞编号:CVE-2016-8610 mz#(\p=T  
:>,d$f^tqE  
漏洞名称:“SSL Death Alert”-红色警戒漏洞 y|@^0]}%<  
PC9:nee  
漏洞危害: Kg.E~  
  在 OpenSSL 针对 SSL/TLS 协议握手过程的实现中,允许客户端重复发送打包的SSL3_RT_ALERT -> SSL3_AL_WARNING类型明文未定义警告包。同时,OpenSSL 的代码中在遇到未定义警告包时会选择忽略并继续处理接下来的通信内容(如果有的话)。攻击者可以利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致进程100%的 CPU 使用率。 FSM~Rl  
lyib+Sa ?`  
受影响范围: $/D@=P kc  
  • OpenSSL All 0.9.8
  • OpenSSL All 1.0.1
  • OpenSSL 1.0.2 through 1.0.2h
  • OpenSSL 1.1.0
=3}+f-6"'  
不受影响的版本: v9<p@GY"\  
  • OpenSSL 1.0.2i, 1.0.2j
  • OpenSSL 1.1.0a, 1.1.0b
tuv4~i<  
修复方案: b*bR<|dTj  
   将OpenSSL升级到最新版: ^iGIF~J9  
  1.OpenSSL 1.1.0应升级到1.1.0b或更高版本 S4|)N,#  
  2.OpenSSL 1.0.2应升级到1.0.2j或更高版本 wHAh6lm  
  3.OpenSSL 1.0.1应升级到1.0.2或更高版本 @p!["v&  
ic3qb<2  
o$Jk2 7  
参考资料 lFB Ka ,6  
wo*/{KFvh  
[1] https://www.openssl.org/ K,So#Ui  
[2] https://access.redhat.com/security/cve/CVE-2016-8610/ F~{ 4)`  
[3] https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=af58be768ebb690f78530f796e92b8ae5c9a4401 9 Iw+g]`y*  
[4] http://seclists.org/oss-sec/2016/q4/224 g]3-:&F{c  
6!bf,T]  
< *XC`Ii  
Y &#<{j':  
"e_ED*  
\TKv3N  
p1 o?^A&  
9 /9,[A  
n%ld*EgY  
VB[R!S=  
4ba1c  
p,xM7V"O)  
.d.7D ]Yn  
[ 此帖被正禾在2016-10-26 17:45重新编辑 ]
级别: 论坛版主
发帖
4292
云币
2524

只看该作者 沙发  发表于: 2016-12-03
感谢您的分享!
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 板凳  发表于: 2016-12-04
流血的修复方面呢
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 66 - 28 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)