UCloud-201609-002: OpenSSL远程DoS攻击高危漏洞安全预警 | U刻
  • UCloud-201609-002: OpenSSL远程DoS攻击高危漏洞安全预警

    栏目:安全资讯
    openssl
    尊敬的UCloud用户:
    近日OpenSSL发布最新安全更新公告,修复了多个安全漏洞,其中存在1个远程DoS攻击高危漏洞,危害极大。请您及时更新使用的OpenSSL版本。
    UCloud团队已经开启应急跟踪,快速实施产品升级和防护方案。
    影响范围
    OpenSSL 0.9.8h through 0.9.8v
    OpenSSL 1.0.1 through 1.0.1t
    OpenSSL 1.0.2 through 1.0.2h
    OpenSSL 1.1.0
    修复方案
    1.UEWAF已经可以实现漏洞的攻击防御,申请地址: http://t.cn/RcEriQh
    2.升级OpenSSL到官网发布的最新版本
        1)源码方式安装的用户可以直接到openssl官网下载以下版本后自编译安装:
              OpenSSL 1.0.1u、OpenSSL 1.0.2i、OpenSSL 1.1.0a
             备注:OpenSSL 1.0.1系列版本的维护更新将在2016年12月31日结束
        2)ubuntu用户,目前UCloud云官方已经更新了的软件源,您可以通过如下方式进行升级修复:
           sudo apt-get install libssl1.0.0
    执行dpkg -l libssl1.0.0确保您的系统升级到如下版本:
          Ubuntu 14.04       libssl1.0.0_1.0.1f-1ubuntu2.21
          Ubuntu 12.04       libssl1.0.0_1.0.1-4ubuntu5.38
    3)centos用户,目前UCloud云官方已经更新了软件源openssl-1.0.1e,您可以通过如下方式升级修复:
         yum install openssl
    执行rpm -qa | grep openssl确保您的系统升级到如下版本:
        openssl-1.0.1e-48.el6_8.3
        openssl-1.0.1e-51.el7_2.7

     

    官方发布升级包后UCloud云官方软件源会在第一时间更新并在相应漏洞通告中更新状态,请关注UCloud安全资讯信息。

    漏洞详情

    CVE-2016-6304:OpenSSL OCSP 状态请求扩展存在严重漏洞,该漏洞令恶意客户端能耗尽服务器内存。利用该漏洞,能使默认配置的服务器在每次协议重商时分配一段 OCSP ids 内存,不断重复协商可无限消耗服务器内存,即使服务器并未配置 OCSP。攻击者利用漏洞可使服务器内存开销过大,导致业务对外拒绝服务。