漏洞编号
CVE-2016-8610
漏洞名称
“SSL Death Alert” 红色警戒漏洞
漏洞危害
在 OpenSSL 针对 SSL/TLS 协议握手过程的实现中,客户端被允许重复发送打包的SSL3_RT_ALERT -> SSL3_AL_WARNING 类型明文未定义警告包。同时,OpenSSL 的代码中在遇到未定义警告包时会选择忽略并继续处理接下来的通信内容。
攻击者可以利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致进程100%的 CPU 使用率。该漏洞影响到互联网中广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx。
漏洞影响范围
- OpenSSL All 0.9.8
- OpenSSL All 1.0.1
- OpenSSL 1.0.2 through 1.0.2h
- OpenSSL 1.1.0
不受影响的版本:OpenSSL 1.0.2i, 1.0.2j 和 OpenSSL 1.1.0a, 1.1.0b
漏洞修复建议(或缓解措施)
将OpenSSL升级到最新版:
- OpenSSL 1.1.0应升级到1.1.0b或更高版本
- OpenSSL 1.0.2应升级到1.0.2j或更高版本
- OpenSSL 1.0.1应升级到1.0.2或更高版本
情报来源