全部产品
Search
文档中心

【漏洞公告】CVE-2017-3733:OpenSSL Encrypt-Then-Mac renegotiation DDoS漏洞

更新时间: 2020-08-17

2017年2月16日,OpenSSL官方发布了最新安全公告。该公告介绍OpenSSL开发团队已经修正了一个严重的拒绝服务(DDoS)漏洞,漏洞编号为CVE-2017-3733。该漏洞是由Red Hat乔·奥顿于1月31日报道,它被描述为“加密后MAC协商崩溃漏洞”。

漏洞详情见下文。


漏洞编号

CVE-2017-3733

漏洞名称

OpenSSL Encrypt-Then-Mac renegotiation DDoS漏洞

官方评级

高危

漏洞描述

在重新协商握手过程中,如果Encrypt-Then-Mac扩展名在原始握手以外的地方被确定(或者反过来),那么可能会导致OpenSSL崩溃(取决于密码套件)。客户端和服务器都受到影响。

漏洞利用条件和方式

远程利用来执行代码。

漏洞影响范围:

OpenSSL 1.1.0

不受影响版本:OpenSSL version 1.0.2

漏洞修复建议(或缓解措施)

目前官方已经提供最新版本openssl-1.1.0e.tar.gz,请关注并及时升级到最新版本。

情报来源