阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2354阅读
  • 0回复

【漏洞公告】CVE-2017-3733:OpenSSL Encrypt-Then-Mac renegotiation DDOS漏洞

级别: 论坛版主
发帖
241
云币
478
2017年2月16日,OpenSSL官方发布了最新安全公告,该公告内容介绍OpenSSL开发团队已经修正了一个严重的拒绝服务(DoS)漏洞,漏洞标号为:cve-2017-3733。这是在短短两个月内发布的第二个安全更新,第一个解决了四个低危和中度严重漏洞的库。 rxO2QQ%V  
该漏洞是由Red Hat 1月31日乔·奥顿报道,它被描述为“加密后MAC协商崩溃漏洞”。 s( <uo{  
有关该漏洞详情如下: U:F/ iXz  
2 &Nb  
漏洞编号: G|8%qd  
CVE-2017-3733 NA,C Z  
4 g. bR  
 Xtq{%  
漏洞名称: $;G{Pyp  
OpenSSL Encrypt-Then-Mac renegotiation DDOS漏洞 Vx_rc%'  
`]Bxn) b(  
3?E8\^N\n  
官方评级: jEXW  
高危 -G,^1AL>  
Jw~( G9G  
4x%(9_8 {-  
漏洞描述: fri0XxF  
如果加密后MAC插件谈不是在原来的握手的过程中,在重新协商握手过程中会导致崩溃(依赖于OpenSSL密码套件)。目前确定客户机和服务器受影响的。 ^w~23g.  
vILy>QS)  
_if|TFw;h  
漏洞利用条件和方式: |+ge8uu?C  
可以远程利用该漏洞执行代码。 juBw5U<  
6a}"6d/sTL  
x]5@>5  
漏洞影响范围: QCPID:  
OpenSSL 1.1.0 >ds%].$-\  
不受影响版本:OpenSSL version 1.0.2. :PbDU$x  
J` { 6l  
&@"]+33  
漏洞修复建议(或缓解措施): }W)=@t  
目前官方已经提供最新版本[openssl-1.1.0e.tar.gz](https://www.openssl.org/source/openssl-1.1.0e.tar.gz "openssl-1.1.0e.tar.gz") ,请关注并及时升级到最新版本。 I>h<b_y  
B6Ej{q^k,  
)_zlrX  
情报来源: vAP{;Q0 i  
- https://www.openssl.org/news/secadv/20170216.txt 4"\ yf  
- https://www.baidu.com/baidu?tn=dealio_dg&wd=Encrypt-Then-Mac+renegotiation+crash YEjY8]t  
[ 此帖被正禾在2017-02-17 16:03重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 68 - 63 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)