OpenSSL 公布高危漏洞,建议升级

最新推荐文章于 2025-07-04 18:09:42 发布
最新推荐文章于 2025-07-04 18:09:42 发布
阅读量259 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统
原文链接:https://yq.aliyun.com/articles/115832

OCSP状态请求延期导致无限的内存增长(CVE-2016-6304)

严重级别:高等

恶意的客户端会发送一个过大的OCSP状态请求延期。如果这个客户端不断请求重新协商,每次发送大量OCSP状态请求延期,这会使服务器的内存无限消耗。这最终会因为内存被耗尽而导致DoS攻击。使用默认配置的服务器是容易遭受攻击的,即使他们不支持OSCP。通过使用“无OCSP”配置时间选项不会受影响。

  • 服务器使用OpenSSL 1.0.1g之前的版本并使用默认配置不会易遭受攻击,除非一个应用程序明确允许支持OCSP,建议
  • OpenSSL 1.1.0用户升级到1.1.0a,OpenSSL 1.0.2用户升级到1.0.2i,OpenSSL 1.0.1用户升级到1.0.1u
  • 这个问题于2016/08/29由Shi Lei(Gear Team,Qihoo 360 Inc)报告,由OpenSSL开发团队的Matt Caswell修复

SSL_peek()挂断空记录(CVE-2016-6305)

严重级别:中等

  • OpenSSL 1.1.0 SSL/TLS 会在发送一个会话给SSL_peek()的期间且发送一个空记录时挂起。这可能会被恶意的同行通过DoS攻击利用。建议使用OpenSSL 1.1.0的用户升级到 1.1.0a
  • 这个问题于2016/09/10由Alex Gaynor报告,由OpenSSL开发团队的Matt Caswell修复

OpenSSL还公布很多严重程度为低等的漏洞,具体信息请访问原网站查看。

此外OpenSSL项目组再次提醒用户,1.0.1版本分支的补丁支持将在12月31日结束。

截止到现在,OpenSSL项目组在今年一共发布了三次的安全更新,累计修复了16个安全漏洞。

文章转载自 开源中国社区 [http://www.oschina.net]

2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91..实时更新中...)
08-21 4964
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91漏洞,本文会实时更新,有新的漏洞都会加上
Docker生态会重蹈Hadoop的覆辙吗?
霍力强的专栏
12-28 5808
目录  一、Docker的兴起和hadoop何其相似  二、大数据从狂热走向了理性  三、Hadoop生态圈的演进  四、Docker的生态圈  五、Docker公司的战略野心受生态圈狙击  六、Docker生态圈的演进  七、开源技术也需要商业的成功  八、Docker生态圈的推论  九、给准备Docker尝鲜的客户的建议  一、Docker的兴起和Hadoop何其相似  2015年说是Dock
OpenSSL 曝两个高危漏洞,CentOS、Ubuntu、Debian 等受影响
easylife206的专栏
11-04 900
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Bleeping Computer 网站披露,OpenSSL 修补了其用于加密通信通道和 HTTPS 连接的开源密码库中两个高危漏洞漏洞分别追踪为 CVE-2022-3602 和 CVE-2022-3786,主要影响 OpenSSL 3.0.0 及更高版本,现已在 OpenSSL 3.0.7 中得到解决。据悉,CV...
OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711
YDclub的博客
09-03 4152
背景 OpenSSL是一个知名的开源安全套接字层密码库。全球成千上万的web服务器的网站加密技术使用OpenSSL。 网银、在线支付、电商网站、门户网站、电子邮件等互联网用广泛使用OpenSSL实现数据的安全传输和安全存储。 历史上,OpenSSL多次出现安全漏洞。 2014年,OpenSSL爆出Heartbleed(心脏滴血)漏洞,网络出现了“致命内伤”。 心脏滴血称为互联网安全历史上最严重的漏洞之一,当时全球三分之二的网站可被该漏洞攻击。 心脏滴血漏洞的CVE编号是CVE-2014-016
OpenSSL 内存泄漏修复全景:119 个历史 Commit 的类型分析与防御启示
最新发布
聚焦实战技术的 “白话解读” 和入门级操作指南。
07-04 1314
OpenSSL开源库存在多种内存泄漏类型,这些泄漏主要通过静态分析(Coverity)、动态检测(ASan/Valgrind)和模糊测试(libFuzzer)发现。
openssl-1.0.2k
05-18
开源的openssl-1.0.2k源代码,编译方式请搜索参考百度文档
openssl heartbleed高危漏洞
kang_yf的专栏
04-10 489
openssl heartbleed高危漏洞 http://www.yysuo.com/itdoc/secdoc.html
OpenSSL 修复可导致 DoS攻击的高危漏洞
smellycat000的专栏
04-22 457
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队周二,OpenSSL 发布更新修复了一个可导致 DoS 攻击的高危漏洞OpenSSL Project 表示该漏洞编号为 C...
Windows系统近年漏洞概况及攻击教程防御
qq_55163354的博客
08-05 3850
参考:《2018年Windows平台漏洞年度报告》 什么是漏洞漏洞是在硬软件,协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。例如OpenSSL心脏出血漏洞,Badlock Bug,Stagefright等。 漏洞危害: 从小方面来讲,漏洞曝光后被不法使用会危害个人用户的隐私安全与财产安全。从大方面来讲,一些漏洞就是在网络方面的战略武器。(所以有自己国家的设备系统,芯片等真的很重要。国外有很多先例,我们可以作参考,但核心的东西必须自己有) 具体
网络安全漏洞深度剖析
kali_Ma的博客
10-16 5210
一、漏洞背景 2021年7月13日,美国微软威胁情报中心发布安全公告[1],文中指出黑客利用Serv-U 0day对极少数美国军工部门成功进行了攻击,同日Serv-U母公司solarwinds也发布安全公告[2],并针对最新大版本发布了补丁[3]。 (注意:目前发布的补丁只针对最新的15.2.3大版本,且只能是付费用户才能下载安装补丁,非付费用户目前无法从官方渠道获取有效补丁。) 根据补丁比较和fuzzer,宁静之盾安全团队成功复现了该远程溢出漏洞,并能在实战环境下成功利用。 截至9月10日,互联网上未发现
CVE-2022-0788
09-06
CVE-2022-0788是OpenSSL项目组于2022年3月15日公布的一个安全漏洞,该漏洞的严重性评分为7.5分,属于高危漏洞。具体漏洞细节和影响范围还需要查看官方公告获取更多信息。至于修复方案,可以尝试升级到安全版本,参考...
OpenSSL 现高危漏洞,心脏又要大出血?
weixin_34128839的博客
06-08 118
还记得那个因为“心脏出血”而一夜成名的OpenSSL协议吗?它又有漏洞了。一组负责为加密协议OpenSSL做技术支持的开发人员,发现了一个新的神秘“高危”漏洞OpenSSL是诸如Apache和Nginx这样的开源网络服务器所使用的安全协议,这些网站占到世界上所有网站的66%。当2014年一个代号为Heartbleed的巨大安全漏洞被发现时,全世界都知道...
OpenSSL再爆多处高危漏洞
weixin_30518397的博客
06-05 193
OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/ 受影响的版本包括: OpenSSL 1.0.1 through 1.0.1g OpenSSL 1.0.0 through 1.0.0l all versions before OpenSSL 0.9.8y...
高危OpenSSL 漏洞可导致远程代码执行
smellycat000的专栏
07-07 611
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士OpenSSL 中存在一个高危漏洞,可导致恶意人员在服务器端设备上实现远程代码执行。OpenSSL是一款使用广泛的加密库,提供SSL 和 TLS 协议的开源实现,包括很多生成RSA密钥和执行加密和解密的工具等。内存损坏安全公告指出,OpenSSL 3.0.4发布在支持 AVX512IFMA 指令的 X86_64 CPU的...
【安全狗高危安全通告】OpenSSL存在远程代码执行漏洞和拒绝服务漏洞
bocco的博客
05-17 1785
近日,安全狗急响中心监测到,OpenSSL官方发布安全公告,漏洞编号为CVE-2022-1292、CVE-2022-1473。攻击者可远程利用这两个漏洞造成代码执行和拒绝服务。
openssl 内存泄露排查
ughome的专栏
04-12 871
openssl 内存泄露排查
openssl 版本_漏洞通告 | OpenSSL 拒绝服务漏洞(CVE20201971)
weixin_39779530的博客
12-22 1630
漏洞背景202012月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp拒绝服务漏洞OpenSSL是一个开放源代码的软件库包,用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被用在互联网的网页服务器上。漏洞描述202012月08日,OpenSSL官方发布安全公告,披露CVE...
查看openssl版本_【漏洞预警】OpenSSL拒绝服务漏洞(CVE20201971
weixin_39806065的博客
12-11 388
01漏洞概述202012月9日,OpenSSL发布了拒绝服务漏洞通告,编号CVE-2020-1971OpenSSL在处理EDIPartyName(X.509通用名称类型之一)时,GENERAL_NAME_cmp函数存在空指针解引用,可能导致程序崩溃,并造成拒绝服务。当攻击者诱使客户端或服务器针对恶意CRL检查恶意证书时,可能发生这种情况。02漏洞分析OpenSSL提供GENERAL_...
OpenSSL安装升级
热门推荐
Lazyafei's Blog
10-22 3万+
官网:https://www.openssl.org/source/ 当前(2020-10-22)最新稳定版本:https://www.openssl.org/source/openssl-1.1.1h.tar.gz Note:The latest stable version is the 1.1.1 series. This is also our Long Term Support (LTS) version, supported until 11th September 2023. All o.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值