OpenSSL up to 0.9.8/1.0.1/1.0.2h/1.1.0 Alert ssl/s3_pkt.c ssl3_read_bytes 拒绝服务漏洞

CVE编号

CVE-2016-8610

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-11-14

漏洞描述

OpenSSL 是一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。OpenSSL存在安全漏洞。受影响的版本：OpenSSL 0.9.8版本，1.0.1版本，1.0.2版本至1.0.2h版本，1.1.0版本。攻击者可以利用该漏洞造成拒绝服务攻击。影响数据的可用性。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=af58be768ebb690f78530f796e92b8ae5c9a4401

参考链接
http://rhn.redhat.com/errata/RHSA-2017-0286.html
http://rhn.redhat.com/errata/RHSA-2017-0574.html
http://rhn.redhat.com/errata/RHSA-2017-1415.html
http://rhn.redhat.com/errata/RHSA-2017-1659.html
http://seclists.org/oss-sec/2016/q4/224
http://www.securityfocus.com/bid/93841
http://www.securitytracker.com/id/1037084
https://access.redhat.com/errata/RHSA-2017:1413
https://access.redhat.com/errata/RHSA-2017:1414
https://access.redhat.com/errata/RHSA-2017:1658
https://access.redhat.com/errata/RHSA-2017:1801
https://access.redhat.com/errata/RHSA-2017:1802
https://access.redhat.com/errata/RHSA-2017:2493
https://access.redhat.com/errata/RHSA-2017:2494
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-8610
https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=af58be768ebb690f7853...
https://security.360.cn/cve/CVE-2016-8610/
https://security.FreeBSD.org/advisories/FreeBSD-SA-16:35.openssl.asc
https://security.netapp.com/advisory/ntap-20171130-0001/
https://security.paloaltonetworks.com/CVE-2016-8610
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-...
https://www.debian.org/security/2017/dsa-3773
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	netapp	clustered_data_ontap_antivirus_connector	-	-
	运行在以下环境
	应用	netapp	data_ontap	-	-
	运行在以下环境
	应用	netapp	data_ontap_edge	-	-
	运行在以下环境
	应用	netapp	e-series_santricity_os_controller	*	From (including) 11.0	Up to (including) 11.40
	运行在以下环境
	应用	netapp	host_agent	-	-
	运行在以下环境
	应用	netapp	oncommand_balance	-	-
	运行在以下环境
	应用	netapp	oncommand_unified_manager	-	-
	运行在以下环境
	应用	netapp	oncommand_workflow_automation	-	-
	运行在以下环境
	应用	netapp	ontap_select_deploy	-	-
	运行在以下环境
	应用	netapp	service_processor	-	-
	运行在以下环境
	应用	netapp	smi-s_provider	-	-
	运行在以下环境
	应用	netapp	snapcenter_server	-	-
	运行在以下环境
	应用	netapp	snapdrive	-	-
	运行在以下环境
	应用	netapp	storagegrid	-	-
	运行在以下环境
	应用	netapp	storagegrid_webscale	-	-
	运行在以下环境
	应用	openssl	openssl	*	From (including) 1.0.2	Up to (including) 1.0.2h
	运行在以下环境
	应用	openssl	openssl	0.9.8	-
	运行在以下环境
	应用	openssl	openssl	1.0.1	-
	运行在以下环境
	应用	openssl	openssl	1.1.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	6.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	6.4.0	-
	运行在以下环境
	系统	debian	debian_linux	8.0	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 1.0.2j-1
	运行在以下环境
	系统	netapp	clustered_data_ontap	-	-
	运行在以下环境
	系统	netapp	cn1610_firmware	-	-
	运行在以下环境
	系统	redhat	enterprise_linux	6.0	-
	运行在以下环境
	系统	redhat	enterprise_linux	7.0	-
	运行在以下环境
	系统	redhat	enterprise_linux_desktop	6.0	-
	运行在以下环境
	系统	redhat	enterprise_linux_desktop	7.0	-
	运行在以下环境
	系统	redhat	enterprise_linux_server	6.0	-
	运行在以下环境
	系统	redhat	enterprise_linux_server	7.0	-
	运行在以下环境
系统	redhat	enterprise_linux_server_aus	7.3	-
运行在以下环境
系统	redhat	enterprise_linux_server_aus	7.4	-
运行在以下环境
系统	redhat	enterprise_linux_server_aus	7.6	-
运行在以下环境
系统	redhat	enterprise_linux_server_eus	7.3	-
运行在以下环境
系统	redhat	enterprise_linux_server_eus	7.4	-
运行在以下环境
系统	redhat	enterprise_linux_server_eus	7.5	-
运行在以下环境
系统	redhat	enterprise_linux_server_eus	7.6	-
运行在以下环境
系统	redhat	enterprise_linux_server_tus	7.3	-
运行在以下环境
系统	redhat	enterprise_linux_server_tus	7.6	-
运行在以下环境
系统	redhat	enterprise_linux_workstation	6.0	-
运行在以下环境
系统	redhat	enterprise_linux_workstation	7.0	-
运行在以下环境
系统	redhat_6	gnutls	*		Up to (excluding) 0:2.12.23-21.el6
运行在以下环境
系统	redhat_7	openssl	*		Up to (excluding) 0:1.0.1e-48.el6_8.4
运行在以下环境
系统	sles_12	sles12sp1-docker-image	*		Up to (excluding) 1.0.7-20171002
运行在以下环境
系统	ubuntu_12.04_lts	gnutls26	*		Up to (excluding) 2.12.14-5ubuntu3.13
运行在以下环境
系统	ubuntu_14.04_lts	gnutls26	*		Up to (excluding) 2.12.23-12ubuntu2.6
运行在以下环境
系统	ubuntu_16.04_lts	gnutls28	*		Up to (excluding) 3.4.10-4ubuntu1.2
运行在以下环境
系统	ubuntu_18.04_lts	gnutls28	*		Up to (excluding) 3.5.6-4ubuntu2
运行在以下环境
系统	ubuntu_18.10	gnutls28	*		Up to (excluding) 3.5.6-4ubuntu2
运行在以下环境
硬件	netapp	cn1610	-	-

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 CWE-400 未加控制的资源消耗（资源穷尽）

正文

OpenSSL up to 0.9.8/1.0.1/1.0.2h/1.1.0 Alert ssl/s3_pkt.c ssl3_read_bytes 拒绝服务漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]