设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 IT综合资讯 查看内容

OpenSSL公布高危漏洞,建议升级

2016-9-25 16:57| 发布者: joejoe0332| 查看: 883| 评论: 0|原作者: oschina|来自: oschina

摘要: 昨日,OpenSSL公布了一些关于高危漏洞的安全信息,部分信息如下:恶意的客户端会发送一个过大的OCSP状态请求延期。如果这个客户端不断请求重新协商,每次发送大量OCSP状态请求延期,这会使服务器的内存无限消耗。这 ...

昨日,OpenSSL公布了一些关于高危漏洞的安全信息,部分信息如下:

OCSP状态请求延期导致无限的内存增长(CVE-2016-6304)

严重级别:高等

  • 恶 意的客户端会发送一个过大的OCSP状态请求延期。如果这个客户端不断请求重新协商,每次发送大量OCSP状态请求延期,这会使服务器的内存无限消耗。这 最终会因为内存被耗尽而导致DoS攻击。使用默认配置的服务器是容易遭受攻击的,即使他们不支持OSCP。通过使用“无OCSP”配置时间选项不受影响。

  • 服务器使用OpenSSL 1.0.1g之前的版本并使用默认配置不会易遭受攻击,除非一个应用程序明确允许支持OCSP,建议

    OpenSSL 1.1.0用户升级到1.1.0a,OpenSSL 1.0.2用户升级到1.0.2i,OpenSSL 1.0.1用户升级到1.0.1u

  • 这个问题于2016/08/29由Shi Lei(Gear Team,Qihoo 360 Inc)报告,由OpenSSL开发团队的Matt Caswell修复

SSL_peek()挂断空记录(CVE-2016-6305)

严重级别:中等

  • OpenSSL 1.1.0 SSL/TLS 会在发送一个会话给SSL_peek()的期间且发送一个空记录时挂起。这可能会被恶意的同行通过DoS攻击利用。建议使用OpenSSL 1.1.0的用户升级到 1.1.0a

  • 这个问题于2016/09/10由Alex Gaynor报告,由OpenSSL开发团队的Matt Caswell修复

OpenSSL还公布很多严重程度为低等的漏洞,具体信息请访问原网站查看。

此外OpenSSL项目组再次提醒用户,1.0.1版本分支的补丁支持将在12月31日结束。

截止到现在,OpenSSL项目组在今年一共发布了三次的安全更新,累计修复了16个安全漏洞。


酷毙

雷人

鲜花

鸡蛋

漂亮
  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187 浙公网安备 33010602006705号   

返回顶部