SSL信息OpnSSL在其代码库中修复了十几个安全漏洞,其中一个极为严重的bug可被利用发起DoS攻击。
OpenSSL是一个应用广泛的开源加密程序库,和其他安全服务软件一样,它为大多数使用SSL和TLS的网站实现加密。前述漏洞存在于OpenSSL的1.0.1、1.0.2和1.1.0版本中,并分别在1.1.0a、1.0.2、1.0.1u版本中被修复。
OpneSSL项目组说,攻击者可以利用一个被评级为“严重”的bug(CVE-2016-6304),在连接磋商时向目标服务器发送一个大的OCSP状态请求扩展,这会导致服务器内存耗尽,由此引发DoS攻击。
什么是OCSP协议?
OCSP(在线证书状态协议)被所有现代浏览器所支持,它是一个被设计用来执行验证和获取网站数字证书的撤销状态的协议。
OCSP由客户端和服务器组件构成。当应用程序或浏览器试图验证SSL证书时,客户端组件会通过HTTP协议向一个在线应答程序发送请求,然后这个应答程序会将证书的状态(证书是否有效)返回给客户端组件。
根据360公司的研究人员报告,尽管他们的服务器并不支持OCSP,但在默认配置下,该漏洞仍可以对服务器产生影响。
“攻击者可以使用TLS扩展‘TLSEXT_TYPE_status_request’用持续不断的重复协商填满OCSP的id,”他在博客中写到。“理论上,攻击者可以与服务器持续不断地进行重复磋商,由此导致服务器内存使用的巨大增长,每次会占用最高可达64k的内存。”
如何避免OpenSSL的DoS攻击
网站管理员可以通过运行“no-ocsp”命令来减轻损害。此外,使用OpenSSL1.0.1g之前版本的服务器在其默认配置下并不会受此攻击。
另一个可能受到DoS攻击的中危险等级的漏洞(CVE-2016-6305),对不到一个月之前发布的OpenSSL1.1.0版本产生了影响,但该漏洞已被修复。
开发团队在最新版本的OpenSSL中还解决了12个低危险等级的漏洞,不过其中大部分漏洞并未影响到1.1.0 branch版本。
值得注意的是,OpenSSL项目组将在2016年12月31日停止对OpenSSL1.0.1版本的技术支持,该版本的用户从2017年起将无法得到安全更新。因此,项目组建议用户升级他们的OpenSSL,以避免出现安全问题。