搜索: 武深高速  黄袍山  张家十伢的故事  关刀镇  玉立  通城  亚细亚陶瓷  警告本站受美国法律  武昌站  平安电工 
 
当前位置: 首页 » 通城新闻 » 综合资讯 » 互联网 » 正文

OpenSSL 远程拒绝服务漏洞

放大字体  缩小字体 发布日期:2017-04-27  来源:通城信息网  浏览次数:0
 
[ 通城新闻搜索 ]  [ 加入收藏 ]  [ 告诉好友 ]  [ 打印本文 ]  [ 关闭窗口 ]

漏洞编号: CVE-2016-8610

漏洞描述和危害:

“SSL Death alert”- 红色警戒漏洞。

在 OpenSSL 针对 SSL/TLS 协议握手过程的实现中,允许客户端重复发送打包的SSL3_RT_alert -> SSL3_AL_WARNING类型明文未定义警告包。同时,OpenSSL 的代码中在遇到未定义警告包时会选择忽略并继续处理接下来的通信内容(如果有的话)。

攻击者可以利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致进程100%的 CPU 使用率,该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。

漏洞影响范围:

OpenSSL All 0.9.8
OpenSSL All 1.0.1
OpenSSL 1.0.2 through 1.0.2h
OpenSSL 1.1.0
复制
不受影响的版本:

OpenSSL 1.0.2i, 1.0.2j
OpenSSL 1.1.0a, 1.1.0b
复制
漏洞修复方案:

将OpenSSL升级到最新版:

OpenSSL 1.1.0应升级到1.1.0b或更高版本
OpenSSL 1.0.2应升级到1.0.2j或更高版本
OpenSSL 1.0.1应升级到1.0.2或更高版本 
 
  • 免责声明:本文仅代表作者个人观点,与通城信息网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
  • 下一篇:MySQL 代码执行漏洞
  • 上一篇:脏牛(Dirty Cow)Linux 内核本地提权漏洞
 
0条 [查看全部]  相关评论

 
推荐图文
推荐通城新闻
点击排行
特别提示:
【通城信息网】无需注册即可发帖→
[免费发布信息]|通城新闻 | 通城房产 | 拼车租车| 聚会活动 | 通城天气 | 通城地图 | 返回顶部↑ 关闭

 
网站首页| 信息删除 | 积分换礼 | 网站留言 | 鄂ICP备13009988号 返回顶部↑