360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

标题: [重要通知] 【安全预警】OpenSSL OCSP状态请求扩展存在严重漏洞 [打印本页]

作者: 360网站管家    时间: 2016-9-29 10:31
标题: [重要通知] 【安全预警】OpenSSL OCSP状态请求扩展存在严重漏洞
[重要通知] 【安全预警】OpenSSL OCSP状态请求扩展存在严重漏洞

您好!近日OpenSSL官方发布了最新安全更新公告,其中包括1个高危漏洞(CVE-2016-6304)、1个中危漏洞和12个低危漏洞,其中高危漏洞为OCSP 状态请求扩展存在严重漏洞,利用该漏洞,攻击者能使默认配置的服务器在每次协议重商时分配一段OCSP ids 内存,不断重复协商可令服务器内存无限消耗,最终导致服务器内存开销过大而使业务对外拒绝服务。
       鉴于此,我们强烈建议您对您的OpenSSL服务进行安全加固,避免被攻击者利用。

漏洞详情如下:
【风险概述】
    高危漏洞为OCSP 状态请求扩展存在严重漏洞,利用该漏洞,攻击者能使默认配置的服务器在每次协议重商时分配一段 OCSP ids 内存,不断重复协商可令服务器内存无限消耗,导致业务对外拒绝服务。
   
【漏洞影响】
   攻击者可通过不断重商,发送大量 OCSP 状态请求扩展,导致服务器内存无限增长,最终导致服务器拒绝服务。默认OpenSSL配置的服务器会受影响,即使其并不支持 OCSP,除非在编译时使用了“no-ocsp”编译选项。

【影响版本】
    OpenSSL <1.1.0a
    OpenSSL <1.0.2i
    OpenSSL <1.0.1u
    OpenSSL 0.9.x 开启了OCSP stapling的受影响,默认配置不受影响
    Nginx 0.8.23 以前的版本会受此影响,Apache 2.0以前及 SSLInsecureRenegotiation 配置项为 on 也都会受此影响。

【安全版本】
    OpenSSL 1.1.0a
    OpenSSL 1.0.2i
    OpenSSL 1.0.1u
    OpenSSL 0.9.x未启用OCSP stapling配置的。

【修复建议】
    1、如果您OpenSSL服务为官方源码方式安装,建议您参照上述【安全版本】升级到对应的最新版本(目前最新版本下载链接:https://www.openssl.org/source/
    2、如果您为Ubuntu、Debian的用户,目前腾讯云官方已经更新了最新的软件源,您可以通过如下方式进行升级修复:
       sudo apt-get update
       Ubuntu:sudo apt-get install libssl1.0.0
       Debian:apt-get install openssl
确保您的系统升级到如下对应版本(通过dpkg -l libssl1.0.0):
       Ubuntu 14.04 LTS:libssl1.0.01.0.1f-1ubuntu2.20
       Ubuntu 12.04 LTS:libssl1.0.0 1.0.1-4ubuntu5.37
       Debian 8 LTS系列:1.0.1t-1+deb8u4(Debian 7 LTS系列官方目前官方已停止安全更新支持)
    3、如果您为CentOS、Redhat的用户,由于目前官方并未发布最新补丁,建议您检查您的openssl应用是否开启了OCSP stapling功能,如果开启了,建议关闭。

【漏洞参考】
https://www.openssl.org/news/secadv/20160922.txt
http://security.360.cn/cve/CVE-2016-6304/CN.html






欢迎光临 360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程 (http://bbs.360wzgj.com/) Powered by Discuz! X3.2