OpenSSL於上周修補了14個安全漏洞,其中包含一個藏匿在「線上憑證狀態協定」(Online Certificate Status Protocol ,OCSP)的重大漏洞,該漏洞可造成記憶體損耗並導致阻斷服務攻擊。
該重大漏洞的編號為CVE-2016-6304,OpenSSL說明,當駭客持續傳遞大型的OCSP狀態請求擴展時,將會耗盡伺服器上的記憶體,造成阻斷服務攻擊。在預設配置下的伺服器就算不支援OCSP,也會受到影響,只有在編譯時選用”no-ocsp”才能倖免於難。這是由中國360信息安全部的石磊在閱讀OpenSSL所發現的。
使用OpenSSL 1.0.1g之前版本的伺服器若未特別啟用OCSP並不會受到該漏洞的影響,此外,OpenSSL 1.1.0應升級到OpenSSL 1.1.0a,OpenSSL 1.0.2應升級到OpenSSL 1.0.2i,OpenSSL 1.0.1則應升級到OpenSSL 1.0.1u。
除了CVE-2016-6304之外,此次OpenSSL所修補的12個安全漏洞都是屬於低風險等級,另有一個中度風險的漏洞CVE-2016-6305也會造成阻斷服務攻擊。