昨日,OpenSSL 公布了一些关于高危漏洞的安全信息,部分信息如下:
OCSP 状态请求延期导致无限的内存增长(CVE-2016-6304)
严重级别:高等
恶意的客户端会发送一个过大的 OCSP 状态请求延期。如果这个客户端不断请求重新协商,每次发送大量 OCSP 状态请求延期,这会使服务器的内存无限消耗。这最终会因为内存被耗尽而导致 DoS 攻击。使用默认配置的服务器是容易遭受攻击的,即使他们不支持 OSCP。通过使用“无 OCSP”配置时间选项不会受影响。
服务器使用 OpenSSL 1.0.1g 之前的版本并使用默认配置不会易遭受攻击,除非一个应用程序明确允许支持 OCSP,建议:
OpenSSL 1.1.0 用户升级到 1.1.0a,OpenSSL 1.0.2 用户升级到 1.0.2i,OpenSSL 1.0.1 用户升级到 1.0.1u。
这个问题于 2016/08/29 由 Shi Lei (Gear Team,Qihoo 360 Inc)报告,由 OpenSSL 开发团队的 Matt Caswell 修复
SSL_peek ()挂断空记录(CVE-2016-6305)
严重级别:中等
OpenSSL 1.1.0 SSL/TLS 会在发送一个会话给 SSL_peek ()的期间且发送一个空记录时挂起。这可能会被恶意的同行通过 DoS 攻击利用。建议使用 OpenSSL 1.1.0 的用户升级到 1.1.0a
这个问题于 2016/09/10 由 Alex Gaynor 报告,由 OpenSSL 开发团队的 Matt Caswell 修复。
OpenSSL 还公布很多严重程度为低等的漏洞,具体信息请访问原网站查看。
此外 OpenSSL 项目组再次提醒用户,1.0.1 版本分支的补丁支持将在 12 月 31 日结束。截止到现在,OpenSSL 项目组在今年一共发布了三次的安全更新,累计修复了 16 个安全漏洞。