中危

OpenSSL拒绝服务漏洞

漏洞描述

带有递归定义的构造的ASN.1类型(例如在PKCS7中可以找到)最终可能由于恶意输入和过度递归而超出了堆栈。这可能会导致拒绝服务攻击。 SSL / TLS中没有来自不可靠来源的此类结构,因此被认为是安全的。已在OpenSSL 1.1.0h中修复(影响1.1.0-1.1.0g)。已在OpenSSL 1.0.2o中修复(影响1.0.2b-1.0.2n)。

基本信息

  • CVE编号: CVE-2018-0739
  • 漏洞类型: 拒绝服务
  • 危险等级: 中危
  • 披露时间: 2018-03-29

修复建议

 OpenSSL Project已经为此发布了一个安全公告(20180327)以及相应补丁:
https://www.openssl.org/news/secadv/20180327.txt                             

参考链接

CVSS3.0 评分
6.5