OpenSSL程序库存在多个漏洞。攻击者可以持续向使用受影响OpenSSL版本的服务器发送请求,耗尽服务器上的内存,造成拒绝服务。
使用OpenSSL默认配置的服务器均受影响。但是,在编译时选用"no-ocsp"选项才不会受到影响。
成功利用这些漏洞可以拒绝服务。
有关漏洞已在OpenSSL 1.0.1u, 1.0.2j 和1.1.0b版本中修复。采用OpenSSL以加密网络通讯的系统,例如受HTTPS保护的网站或SSL-VPN网关的用户须留意有关漏洞及采取必要措施。用户应联络产品供货商以确认是否受有关问题影响。
https://www.openssl.org/news/secadv/20160922.txt
https://www.openssl.org/news/secadv/20160926.txt
https://www.openssl.org/source/
https://www.hkcert.org/my_url/zh/alert/16092301
https://www.us-cert.gov/ncas/current-activity/2016/09/23/OpenSSL-Releases-Security-Updates
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2177
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2178
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2179
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2180
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2181
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2182
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6302
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6303
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6305
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6306
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6307
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6308
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6309
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7052