OpenSSL 公布高危漏洞,建议升级

OCSP状态请求延期导致无限的内存增长(CVE-2016-6304)

严重级别:高等

恶意的客户端会发送一个过大的OCSP状态请求延期。如果这个客户端不断请求重新协商,每次发送大量OCSP状态请求延期,这会使服务器的内存无限消耗。这最终会因为内存被耗尽而导致DoS攻击。使用默认配置的服务器是容易遭受攻击的,即使他们不支持OSCP。通过使用“无OCSP”配置时间选项不会受影响。

  • 服务器使用OpenSSL 1.0.1g之前的版本并使用默认配置不会易遭受攻击,除非一个应用程序明确允许支持OCSP,建议
  • OpenSSL 1.1.0用户升级到1.1.0a,OpenSSL 1.0.2用户升级到1.0.2i,OpenSSL 1.0.1用户升级到1.0.1u
  • 这个问题于2016/08/29由Shi Lei(Gear Team,Qihoo 360 Inc)报告,由OpenSSL开发团队的Matt Caswell修复

SSL_peek()挂断空记录(CVE-2016-6305)

严重级别:中等

  • OpenSSL 1.1.0 SSL/TLS 会在发送一个会话给SSL_peek()的期间且发送一个空记录时挂起。这可能会被恶意的同行通过DoS攻击利用。建议使用OpenSSL 1.1.0的用户升级到 1.1.0a
  • 这个问题于2016/09/10由Alex Gaynor报告,由OpenSSL开发团队的Matt Caswell修复

OpenSSL还公布很多严重程度为低等的漏洞,具体信息请访问原网站查看。

此外OpenSSL项目组再次提醒用户,1.0.1版本分支的补丁支持将在12月31日结束。

截止到现在,OpenSSL项目组在今年一共发布了三次的安全更新,累计修复了16个安全漏洞。

文章转载自 开源中国社区 [http://www.oschina.net]

时间: 2024-12-04 21:43:14

OpenSSL 公布高危漏洞,建议升级的相关文章

升级OpenSSL修复高危漏洞Heartbleed

升级OpenSSL修复高危漏洞Heartbleed 背景:          OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)作技术保障在Internet上数据传输的安全.可确保数据在网络上的传输不会被窃听及截取.          当然,OpenSSL是一个强大的密码库,我们在使用SSL协议的时候不一定非得采用OpenSSL,不过目前基本上都是用的OpenSSL,因为它更安全,使用起来也更简单.          在近期

【转载】升级OpenSSL修复高危漏洞Heartbleed

背景:       OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)作技术保障在Internet上数据传输的安全.可确保数据在网络上的传输不会被窃听及截取.       当然,OpenSSL是一个强大的密码库,我们在使用SSL协议的时候不一定非得采用OpenSSL,不过目前基本上都是用的OpenSSL,因为它更安全,使用起来也更简单.       在近期互联网安全协议OpenSSL v1.0.1到1.0.1f的密码算法库中

OpenSSL 现高危漏洞,心脏又要大出血?

还记得那个因为"心脏出血"而一夜成名的OpenSSL协议吗?它又有漏洞了.一组负责为加密协议OpenSSL做技术支持的开发人员,发现了一个新的神秘"高危"漏洞.OpenSSL是诸如Apache和Nginx这样的开源网络服务器所使用的安全协议,这些网站占到世界上所有网站的66%.当2014年一个代号为Heartbleed的巨大安全漏洞被发现时,全世界都知道了这种少有人知的后台技术. Heartbleed很危险,因为黑客可以利用OpenSSL,通过网站和服务器窃取数据,

绿盟科技发布OpenSSL高危漏洞技术分析与防护方案 G20成员国美国、中国、德国受影响较大

近日,OpenSSL官方发布了版本更新,修复了多个OpenSSL漏洞,这次更新所修复的漏洞中,有两个危害等级较高的为CVE-2016-6304和CVE-2016-6305.绿盟科技对此漏洞进行了技术分析并提出了防护方案. 自2014年4月心脏滴血漏洞爆发以来,绿盟科技对OpenSSL的CVE漏洞进行密切的监控,据绿盟科技威胁情报中心(NTI)统计到的数据显示,2年来OpenSSL漏洞变化不大总体持平,总计高危漏洞13个,其中今年9月份3个高危漏洞.绿盟科技漏洞库迄今为止收录了82个重要漏洞. O

OpenSSL安全公告高危漏洞 可以对默认配置的服务器发动DDoS攻击

OpenSSL项目组在今天发布高威胁安全通告CVE-2016-6304,更新内容包括:修复了自2016年5月以来的安全漏洞,其中包括一个高危漏洞,一个为"中危",其余均评级为"低危".OpenSSL安全公告 [22 Sep 2016]公告如下: OCSP状态请求扩展跨内存边界增长(CVE-2016-6304) 安全等级: 高危 恶意的客户端可以发送过大的OCSP状态请求延期.如果该客户端不断请求重新谈判,发送一个大的 OCSP 状态请求每延长一次,那么就会有无限的内

Carlo Gavazzi能源监控产品存在高危漏洞 国内用户请尽快升级

1月17日讯 瑞士知名工业与建筑自动化解决方案提供商佳乐商贸(Carlo Gavazzi)发布某些能源监控产品的固件升级,以修补可能使设备面临远程网络攻击的严重漏洞. Carlo Gavazzi能源监控产品存在高危漏洞 中国用户请尽快升级 -E安全 安全研究人员Karn Ganeshen发现Carlo Gavazzi的VMU-C EM和VMU-C PV产品运行的固件版本(A11_U05和A17之前的版本)至少存在3个"超危"和"高危". VMU-C产品旨在记录.监控

OpenSSL 高危漏洞允许攻击者解密 HTTPS 流量

OpenSSL的维护者修复了一个高危漏洞, 该漏洞允许攻击者能获得解密HTTPS等加密流量的密钥.漏洞的潜在影响虽然严重,但需要满足多个条件才能被利用: 漏洞只存在于OpenSSL 1.0.2中:依靠OpenSSL的应用程序必须配置使用基于DSA的group去生成基于Diffie Hellman密钥交换的临时密钥.在默认情况下它将容易受到密钥恢复攻击.OpenSSL的维护者接到报告两周之内释出了新版1.0.2f,推荐使用OpenSSL 1.0.2的用户升级到新版.此外,最新版本还将拒绝密钥长度短

站长们注意啦!开源CMS Drupal 8发布更新修复多处高危漏洞补丁,提示您升级

据外媒报道, Drupal 研究人员于 8 月 16 日发布安全报告,宣称已修复 Drupal 8 多处漏洞并在线更新安全补丁.研究显示这些漏洞影响 Drupal 8 多个系统组件,包括实体访问系统.REST API 与部分视图组件. CVE-2017-6925 研究人员发现 Drupal 8.3.7 中存在一处高危漏洞(CVE-2017-6925),影响实体访问系统,允许攻击者查看.创建.删除或更新实体.不过,该漏洞仅影响不具备 UUID 实体,以及对同一实体不同版本有多种访问限制的实体系统.

加密软件 VeraCrypt 审计报告公布,发现多个高危漏洞

在 DuckDuckGo 和 VikingVPN 的资助下,QuarksLab 最近对开源加密软件 VeraCrypt 进行了安全审计.此次审计发现了 8个高危漏洞和 10 多个中低级别的漏洞. 关于VeraCrypt VeraCrypt 是一款非常流行的磁盘加密软件,它基于 TrueCrypt 7.1a 开发(在 2014 年 TrueCrypt 突然关闭之后才启动的这个项目),因此可以把它看成是 TrueCrypt 的分支 .在 TrueCrypt 停用之后,VeraCrypt 接过了 Tr