2017年2月16日,OpenSSL官方发布了最新安全公告。该公告介绍OpenSSL开发团队已经修正了一个严重的拒绝服务(DDoS)漏洞,漏洞编号为CVE-2017-3733。该漏洞是由Red Hat乔·奥顿于1月31日报道,它被描述为“加密后MAC协商崩溃漏洞”。
漏洞详情见下文。
漏洞编号
CVE-2017-3733
漏洞名称
OpenSSL Encrypt-Then-Mac renegotiation DDoS漏洞
官方评级
高危
漏洞描述
在重新协商握手过程中,如果Encrypt-Then-Mac扩展名在原始握手以外的地方被确定(或者反过来),那么可能会导致OpenSSL崩溃(取决于密码套件)。客户端和服务器都受到影响。
漏洞利用条件和方式
远程利用来执行代码。
漏洞影响范围:
OpenSSL 1.1.0
不受影响版本:OpenSSL version 1.0.2
漏洞修复建议(或缓解措施)
目前官方已经提供最新版本openssl-1.1.0e.tar.gz,请关注并及时升级到最新版本。
情报来源