UCloud-201609-002: OpenSSL远程DoS攻击高危漏洞安全预警

安全资讯/

< 返回

UCloud-201609-002: OpenSSL远程DoS攻击高危漏洞安全预警

云安全团队

2016.09.23
栏目：安全资讯

尊敬的UCloud用户:

近日OpenSSL发布最新安全更新公告，修复了多个安全漏洞，其中存在1个远程DoS攻击高危漏洞，危害极大。请您及时更新使用的OpenSSL版本。

UCloud团队已经开启应急跟踪，快速实施产品升级和防护方案。

影响范围

OpenSSL 0.9.8h through 0.9.8v

OpenSSL 1.0.1 through 1.0.1t

OpenSSL 1.0.2 through 1.0.2h

OpenSSL 1.1.0

修复方案

1.UEWAF已经可以实现漏洞的攻击防御，申请地址： http://t.cn/RcEriQh

2.升级OpenSSL到官网发布的最新版本

1）源码方式安装的用户可以直接到openssl官网下载以下版本后自编译安装：

OpenSSL 1.0.1u、OpenSSL 1.0.2i、OpenSSL 1.1.0a

备注：OpenSSL 1.0.1系列版本的维护更新将在2016年12月31日结束

2）ubuntu用户，目前UCloud云官方已经更新了的软件源，您可以通过如下方式进行升级修复：

sudo apt-get install libssl1.0.0

执行dpkg -l libssl1.0.0确保您的系统升级到如下版本：

Ubuntu 14.04 libssl1.0.0_1.0.1f-1ubuntu2.21

Ubuntu 12.04 libssl1.0.0_1.0.1-4ubuntu5.38

3）centos用户，目前UCloud云官方已经更新了软件源openssl-1.0.1e，您可以通过如下方式升级修复：

yum install openssl

执行rpm -qa | grep openssl确保您的系统升级到如下版本:

openssl-1.0.1e-48.el6_8.3

openssl-1.0.1e-51.el7_2.7

官方发布升级包后UCloud云官方软件源会在第一时间更新，并在相应漏洞通告中更新状态，请关注UCloud安全资讯信息。

漏洞详情

CVE-2016-6304：OpenSSL OCSP 状态请求扩展存在严重漏洞，该漏洞令恶意客户端能耗尽服务器内存。利用该漏洞，能使默认配置的服务器在每次协议重商时分配一段 OCSP ids 内存，不断重复协商可无限消耗服务器内存，即使服务器并未配置 OCSP。攻击者利用漏洞可使服务器内存开销过大，导致业务对外拒绝服务。

参考链接

https://www.openssl.org/source/

https://www.openssl.org/news/secadv/20160922.txt

*本平台所发布文章信息，版权归UCloud所有，如需转载请注明出处！

云安全团队

查看TA的所有文章