上周四(2月26日),OpenSSL Project修复了一个高危DoS漏洞(CVE-2017-3733)。
这是在短短两个月内发布的第二个安全更新,第一个解决了四个低危和中度严重漏洞的库。
该漏洞是由红帽子 Joe Orton 于 1 月 31 日报道,它被描述为“加密后MAC协商崩溃漏洞”。
在重新协商握手期间,如果加密后MAC插件谈不是在原来的握手过程中,会导致崩溃(依赖于OpenSSL密码套件)。目前确定客户机和服务器受影响的。
漏洞级别:高
漏洞影响范围:
OpenSSL 1.1.0
不受影响版本:OpenSSL version 1.0.2.
漏洞修复建议:
将及时将 OpenSSL 1.1.0 升级到最新版本 OpenSSL 1.1.0e
参考:
http://securityaffairs.co/wordpress/56343/security/openssl-cve-2017-3733.html
https://www.openssl.org/news/secadv/20170216.txt
(整理)