OpenSSL中发现的关键DoS漏洞；工作原理

OpenSSL是一个广泛使用的开源加密库，为大多数网站以及其他安全服务提供使用安全套接字层（SSL）或传输层安全（TLS）的加密Internet连接。
这些漏洞存在于OpenSSL版本1.0.1、1.0.2和1.1.0中，并在OpenSSL版本1.1.0a、1.0.2i和1.0.1u中修补。

OpenSSL项目称，在连接协商期间，通过在目标服务器上发送一个大型OCSP状态请求扩展，可以利用严重的分级错误（CVE-2016-6304），从而导致内存耗尽，从而发起DoS攻击。

什么是OCSP协议？

OCSP（在线证书状态协议）由所有现代网络浏览器支持，是一种旨在执行验证并获取附加到网站的数字证书的吊销状态的协议。

OCSP分为客户端和服务器组件。当应用程序或web浏览器尝试验证SSL证书时，客户端组件会通过HTTP协议向在线响应程序发送请求，后者会返回证书的状态（有效或无效）。

据中国安全公司奇虎360的研究员石磊报道，该漏洞会影响默认配置的服务器，即使它们不支持OCSP。

“攻击者可以使用TLS扩展”TLSEXT_类型_状态_请求研究人员在一篇博文中解释说：“并不断地在OCSP ID中进行重新协商。”。

“从理论上讲，攻击者可能会不断与服务器重新协商，从而导致服务器上的内存无限增长，每次可达64k。”

如何防止OpenSSL DoS攻击

管理员可以通过运行没有ocsp“此外，使用1.0.1g之前版本的OpenSSL的服务器在默认配置中不易受攻击。

补丁版本中修复了另一个可用于发起拒绝服务攻击的中度漏洞（CVE-2016-6305），该漏洞影响了不到一个月前发布的OpenSSL 1.1.0。

该团队还解决了OpenSSL最新版本中总共12个低严重性漏洞，但其中大多数不影响1.1.0分支。

值得注意的是，OpenSSL项目将于2016年12月31日结束对OpenSSL 1.0.1版的支持，因此用户从2017年初起将不会收到任何安全更新。因此，建议用户升级以避免任何安全问题。