OpenSSL存在DTLS Fragment驗證弱點,可能導致癱瘓服務攻擊,請管理者儘速更新!
- 發布單位:TWCERT/CC
- 更新日期:2019-03-29
- 點閱次數:428
CVE編號
尚無CVE編號
內文
根據官方組織公佈OpenSSL存在DTLS Fragment驗證弱點,惡意人士針對有弱點的OpenSSL版本之應用主機伺服器進行惡意攻擊,由於檢查ClientHello訊息長度未驗證之漏洞,攻擊者可送出大量無效的fragment 封包癱瘓應用主機伺服器服務,或將ClientHello訊息塞入惡意攻擊執行緒,造成應用服務主機可執行任意碼而取得伺服器管理者權限。
目前已知會受到影響的版本為OpenSSL 0.9.8、1.0.0及1.0.1版本,中華電信SOC 建議管理者應儘速上網更新,以降低受駭風險。
影響產品
OpenSSL 0.9.8za之前版本 OpenSSL 1.0.0m 之前版本 OpenSSL 1.0.1h 之前版本
解決辦法
(1)OpenSSL更新到OpenSSL 0.98za或1.0.0m 或1.0.1h版本。
(2)修改ssl/d1_both.c的DTLS Fragment進行長度檢查與內容檢查,避免出現無效的 Fragment 封包。
(3)進行IPS設備版本更新,阻擋惡意攻擊行為。
(2)修改ssl/d1_both.c的DTLS Fragment進行長度檢查與內容檢查,避免出現無效的 Fragment 封包。
(3)進行IPS設備版本更新,阻擋惡意攻擊行為。