全部产品
云市场

【漏洞公告】OpenSSL OCSP 状态请求扩展拒绝服务漏洞

更新时间:2017-11-17 16:54:33

漏洞描述

OpenSSL OCSP 状态请求扩展存在严重漏洞,可被恶意利用来耗尽服务器内存。

攻击者可以利用此漏洞,使受害服务器在每次建立协议时分配一段新的 OCSP ID 内存。不断重复此过程可令服务器内存不断消耗。即使服务器未配置 OCSP,也会受到影响。

理论上,一个 OCSP ID 最多为 64 KB。攻击者可以不断发起协议建立请求,令服务器每次内存消耗接近 64 KB。在 OpenSSL 1.0.2 版本中,ClientHello 数据包的最大长度为 16 KB,因此每次重新建立协议只能令服务器消耗约 16 KB 内存。但是,在 1.1.0 版本中,ClientHello 的最大长度允许为 128 KB。因此,对使用 1.1.0 版本的服务器,每次重新建立协议会令内存消耗接近 128 KB。

受影响范围

  • OpenSSL 1.1.0
  • OpenSSL 1.0.2 <= 1.0.2h
  • OpenSSL 1.0.1 <= 1.0.1t

修复方案

将 OpenSSL 升级到最新版:

  • OpenSSL 1.1.0 应升级到 1.1.0a 或更高版本
  • OpenSSL 1.0.2 应升级到 1.0.2i 或更高版本
  • OpenSSL 1.0.1 应升级到 1.0.1u 或更高版本

参考资料: