OpenSSL程式庫存在多個漏洞。攻擊者可以持續向使用受影響OpenSSL版本的伺服器發送請求,耗盡伺服器上的記憶體,造成拒絕服務。
使用OpenSSL預設配置的伺服器均受影響。但是,在編譯時選用"no-ocsp"選項才不會受到影響。
成功利用這些漏洞可以拒絕服務。
有關漏洞已在OpenSSL 1.0.1u, 1.0.2j 和1.1.0b版本中修復。採用OpenSSL以加密網絡通訊的系統,例如受HTTPS保護的網站或SSL-VPN閘道的用戶須留意有關漏洞及採取必要措施。用戶應聯絡產品供應商以確認是否受有關問題影響。
https://www.openssl.org/news/secadv/20160922.txt
https://www.openssl.org/news/secadv/20160926.txt
https://www.openssl.org/source/
https://www.hkcert.org/my_url/zh/alert/16092301
https://www.us-cert.gov/ncas/current-activity/2016/09/23/OpenSSL-Releases-Security-Updates
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2177
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2178
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2179
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2180
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2181
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2182
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6302
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6303
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6305
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6306
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6307
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6308
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6309
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7052