360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
1 2 3 4
查看: 3199|回复: 0
打印 上一主题 下一主题

[重要通知] 【安全预警】OpenSSL OCSP状态请求扩展存在严重漏洞

[复制链接]

823

主题

909

帖子

4623

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
4623
跳转到指定楼层
楼主
发表于 2016-9-29 10:31:44 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

亲!这问题您也搜索很久了吧?不如咨询下我们吧


613049616  613049616  613049616   613049616   613049616


[重要通知] 【安全预警】OpenSSL OCSP状态请求扩展存在严重漏洞

您好!近日OpenSSL官方发布了最新安全更新公告,其中包括1个高危漏洞(CVE-2016-6304)、1个中危漏洞和12个低危漏洞,其中高危漏洞为OCSP 状态请求扩展存在严重漏洞,利用该漏洞,攻击者能使默认配置的服务器在每次协议重商时分配一段OCSP ids 内存,不断重复协商可令服务器内存无限消耗,最终导致服务器内存开销过大而使业务对外拒绝服务。
       鉴于此,我们强烈建议您对您的OpenSSL服务进行安全加固,避免被攻击者利用。

漏洞详情如下:
【风险概述】
    高危漏洞为OCSP 状态请求扩展存在严重漏洞,利用该漏洞,攻击者能使默认配置的服务器在每次协议重商时分配一段 OCSP ids 内存,不断重复协商可令服务器内存无限消耗,导致业务对外拒绝服务。
   
【漏洞影响】
   攻击者可通过不断重商,发送大量 OCSP 状态请求扩展,导致服务器内存无限增长,最终导致服务器拒绝服务。默认OpenSSL配置的服务器会受影响,即使其并不支持 OCSP,除非在编译时使用了“no-ocsp”编译选项。

【影响版本】
    OpenSSL <1.1.0a
    OpenSSL <1.0.2i
    OpenSSL <1.0.1u
    OpenSSL 0.9.x 开启了OCSP stapling的受影响,默认配置不受影响
    Nginx 0.8.23 以前的版本会受此影响,Apache 2.0以前及 SSLInsecureRenegotiation 配置项为 on 也都会受此影响。

【安全版本】
    OpenSSL 1.1.0a
    OpenSSL 1.0.2i
    OpenSSL 1.0.1u
    OpenSSL 0.9.x未启用OCSP stapling配置的。

【修复建议】
    1、如果您OpenSSL服务为官方源码方式安装,建议您参照上述【安全版本】升级到对应的最新版本(目前最新版本下载链接:https://www.openssl.org/source/
    2、如果您为Ubuntu、Debian的用户,目前腾讯云官方已经更新了最新的软件源,您可以通过如下方式进行升级修复:
       sudo apt-get update
       Ubuntu:sudo apt-get install libssl1.0.0
       Debian:apt-get install openssl
确保您的系统升级到如下对应版本(通过dpkg -l libssl1.0.0):
       Ubuntu 14.04 LTS:libssl1.0.01.0.1f-1ubuntu2.20
       Ubuntu 12.04 LTS:libssl1.0.0 1.0.1-4ubuntu5.37
       Debian 8 LTS系列:1.0.1t-1+deb8u4(Debian 7 LTS系列官方目前官方已停止安全更新支持)
    3、如果您为CentOS、Redhat的用户,由于目前官方并未发布最新补丁,建议您检查您的openssl应用是否开启了OCSP stapling功能,如果开启了,建议关闭。

【漏洞参考】

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则


Archiver|手机版|小黑屋|360wzgj Inc. 百度统计

GMT+8, 2024-11-24 21:07 , Processed in 0.070252 second(s), 26 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表