首页>安全资讯>OpenSSL修复OCSP状态请求扩展严重漏洞

OpenSSL修复OCSP状态请求扩展严重漏洞

9月22日,OpenSSL修复了OCSP状态请求扩展严重漏洞,这是其修复的14个漏洞中最为严重的一个,建议受影响的用户升级到最新版本避免被攻击。

漏洞概述

OCSP是在线证书状态协议,客户端可以通过该协议请求验证数字证书的状态。该漏洞CVE-2016-6304可以通过一个恶意的客户端发送大量OCSP状态请求扩展,如果该客户端不断请求重新协商,每次发送大量OCSP状态请求,那么服务器就会出现无限内存增长。最终服务器将内存耗尽而导致拒绝服务攻击。默认OpenSSL配置的服务器会受影响,即使其并不支持 OCSP,除非在编译时使用了“no-ocsp”编译选项。

受影响的版本

OpenSSL Project OpenSSL < 1.1.0a

OpenSSL Project OpenSSL < 1.0.2i

OpenSSL Project OpenSSL < 1.0.1u

不受影响的版本

OpenSSL Project OpenSSL 1.1.0a

OpenSSL Project OpenSSL 1.0.2i

OpenSSL Project OpenSSL 1.0.1u

修复建议

升级到最新版本可避免被攻击。不需要注销私钥或证书,攻击者不能窃取到私钥。

补丁地址:https://www.openssl.org/source/

消息来源:OpenSSL官网 沃通WoSign整理