[重要通知] 【安全预警】OpenSSL OCSP状态请求扩展存在严重漏洞

360网站管家

[重要通知] 【安全预警】OpenSSL OCSP状态请求扩展存在严重漏洞

您好！近日OpenSSL官方发布了最新安全更新公告，其中包括1个高危漏洞（CVE-2016-6304）、1个中危漏洞和12个低危漏洞，其中高危漏洞为OCSP 状态请求扩展存在严重漏洞，利用该漏洞，攻击者能使默认配置的服务器在每次协议重商时分配一段OCSP ids 内存，不断重复协商可令服务器内存无限消耗，最终导致服务器内存开销过大而使业务对外拒绝服务。

       鉴于此，我们强烈建议您对您的OpenSSL服务进行安全加固，避免被攻击者利用。

漏洞详情如下：

【风险概述】

    高危漏洞为OCSP 状态请求扩展存在严重漏洞，利用该漏洞，攻击者能使默认配置的服务器在每次协议重商时分配一段 OCSP ids 内存，不断重复协商可令服务器内存无限消耗，导致业务对外拒绝服务。

   

【漏洞影响】

   攻击者可通过不断重商，发送大量 OCSP 状态请求扩展，导致服务器内存无限增长，最终导致服务器拒绝服务。默认OpenSSL配置的服务器会受影响，即使其并不支持 OCSP，除非在编译时使用了“no-ocsp”编译选项。

【影响版本】

    OpenSSL <1.1.0a

    OpenSSL <1.0.2i

    OpenSSL <1.0.1u

    OpenSSL 0.9.x 开启了OCSP stapling的受影响，默认配置不受影响

    Nginx 0.8.23 以前的版本会受此影响，Apache 2.0以前及 SSLInsecureRenegotiation 配置项为 on 也都会受此影响。

【安全版本】

    OpenSSL 1.1.0a

    OpenSSL 1.0.2i

    OpenSSL 1.0.1u

    OpenSSL 0.9.x未启用OCSP stapling配置的。

【修复建议】

    1、如果您OpenSSL服务为官方源码方式安装，建议您参照上述【安全版本】升级到对应的最新版本（目前最新版本下载链接：https://www.openssl.org/source/）

    2、如果您为Ubuntu、Debian的用户，目前腾讯云官方已经更新了最新的软件源，您可以通过如下方式进行升级修复：

       sudo apt-get update

       Ubuntu：sudo apt-get install libssl1.0.0

       Debian：apt-get install openssl

确保您的系统升级到如下对应版本(通过dpkg -l libssl1.0.0)：

       Ubuntu 14.04 LTS：libssl1.0.01.0.1f-1ubuntu2.20

       Ubuntu 12.04 LTS：libssl1.0.0 1.0.1-4ubuntu5.37

       Debian 8 LTS系列：1.0.1t-1+deb8u4（Debian 7 LTS系列官方目前官方已停止安全更新支持）

    3、如果您为CentOS、Redhat的用户，由于目前官方并未发布最新补丁，建议您检查您的openssl应用是否开启了OCSP stapling功能，如果开启了，建议关闭。

【漏洞参考】

https://www.openssl.org/news/secadv/20160922.txt

http://security.360.cn/cve/CVE-2016-6304/CN.html