低危 OpenSSL up to 0.9.8/1.0.1/1.0.2h/1.1.0 Alert ssl/s3_pkt.c ssl3_read_bytes 拒绝服务漏洞

CVE编号

CVE-2016-8610

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2017-11-14
漏洞描述
OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。OpenSSL存在安全漏洞。受影响的版本:OpenSSL 0.9.8版本,1.0.1版本,1.0.2版本至1.0.2h版本,1.1.0版本。攻击者可以利用该漏洞造成拒绝服务攻击。影响数据的可用性。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=af58be768ebb690f78530f796e92b8ae5c9a4401
参考链接
http://rhn.redhat.com/errata/RHSA-2017-0286.html
http://rhn.redhat.com/errata/RHSA-2017-0574.html
http://rhn.redhat.com/errata/RHSA-2017-1415.html
http://rhn.redhat.com/errata/RHSA-2017-1659.html
http://seclists.org/oss-sec/2016/q4/224
http://www.securityfocus.com/bid/93841
http://www.securitytracker.com/id/1037084
https://access.redhat.com/errata/RHSA-2017:1413
https://access.redhat.com/errata/RHSA-2017:1414
https://access.redhat.com/errata/RHSA-2017:1658
https://access.redhat.com/errata/RHSA-2017:1801
https://access.redhat.com/errata/RHSA-2017:1802
https://access.redhat.com/errata/RHSA-2017:2493
https://access.redhat.com/errata/RHSA-2017:2494
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-8610
https://git.openssl.org/gitweb/?p=openssl.git%3Ba=commit%3Bh=af58be768ebb690f...
https://security.360.cn/cve/CVE-2016-8610/
https://security.FreeBSD.org/advisories/FreeBSD-SA-16:35.openssl.asc
https://security.netapp.com/advisory/ntap-20171130-0001/
https://security.paloaltonetworks.com/CVE-2016-8610
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-...
https://www.debian.org/security/2017/dsa-3773
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 netapp clustered_data_ontap_antivirus_connector - -
运行在以下环境
应用 netapp data_ontap - -
运行在以下环境
应用 netapp data_ontap_edge - -
运行在以下环境
应用 netapp e-series_santricity_os_controller * From
(including)
11.0 		Up to
(including)
11.40
运行在以下环境
应用 netapp host_agent - -
运行在以下环境
应用 netapp oncommand_balance - -
运行在以下环境
应用 netapp oncommand_unified_manager - -
运行在以下环境
应用 netapp oncommand_workflow_automation - -
运行在以下环境
应用 netapp ontap_select_deploy - -
运行在以下环境
应用 netapp service_processor - -
运行在以下环境
应用 netapp smi-s_provider - -
运行在以下环境
应用 netapp snapcenter_server - -
运行在以下环境
应用 netapp snapdrive - -
运行在以下环境
应用 netapp storagegrid - -
运行在以下环境
应用 netapp storagegrid_webscale - -
运行在以下环境
应用 openssl openssl * From
(including)
1.0.2 		Up to
(including)
1.0.2h
运行在以下环境
应用 openssl openssl 0.9.8 -
运行在以下环境
应用 openssl openssl 1.0.1 -
运行在以下环境
应用 openssl openssl 1.1.0 -
运行在以下环境
应用 redhat jboss_enterprise_application_platform 6.0.0 -
运行在以下环境
应用 redhat jboss_enterprise_application_platform 6.4.0 -
运行在以下环境
系统 debian debian_linux 8.0 -
运行在以下环境
系统 netapp clustered_data_ontap - -
运行在以下环境
系统 netapp cn1610_firmware - -
运行在以下环境
系统 redhat enterprise_linux 6.0 -
运行在以下环境
系统 redhat enterprise_linux 7.0 -
运行在以下环境
系统 redhat enterprise_linux_desktop 6.0 -
运行在以下环境
系统 redhat enterprise_linux_desktop 7.0 -
运行在以下环境
系统 redhat enterprise_linux_server 6.0 -
运行在以下环境
系统 redhat enterprise_linux_server 7.0 -
运行在以下环境
系统 redhat enterprise_linux_server_aus 7.3 -
运行在以下环境
系统 redhat enterprise_linux_server_aus 7.4 -
运行在以下环境
系统 redhat enterprise_linux_server_aus 7.6 -
运行在以下环境
系统 redhat enterprise_linux_server_eus 7.3 -
运行在以下环境
系统 redhat enterprise_linux_server_eus 7.4 -
运行在以下环境
系统 redhat enterprise_linux_server_eus 7.5 -
运行在以下环境
系统 redhat enterprise_linux_server_eus 7.6 -
运行在以下环境
系统 redhat enterprise_linux_server_tus 7.3 -
运行在以下环境
系统 redhat enterprise_linux_server_tus 7.6 -
运行在以下环境
系统 redhat enterprise_linux_workstation 6.0 -
运行在以下环境
系统 redhat enterprise_linux_workstation 7.0 -
运行在以下环境
系统 redhat_6 gnutls * Up to
(excluding)
0:2.12.23-21.el6
运行在以下环境
系统 redhat_7 openssl * Up to
(excluding)
0:1.0.1e-48.el6_8.4
运行在以下环境
系统 suse_12 sles12sp1-docker-image * Up to
(excluding)
1.0.7-20171002
运行在以下环境
系统 ubuntu_12.04.5_lts gnutls26 * Up to
(excluding)
2.12.14-5ubuntu3.13
运行在以下环境
系统 ubuntu_14.04.6_lts gnutls26 * Up to
(excluding)
2.12.23-12ubuntu2.6
运行在以下环境
系统 ubuntu_16.04.7_lts gnutls28 * Up to
(excluding)
3.4.10-4ubuntu1.2
运行在以下环境
系统 ubuntu_18.04.5_lts gnutls28 * Up to
(excluding)
3.5.6-4ubuntu2
运行在以下环境
系统 ubuntu_18.10 gnutls28 * Up to
(excluding)
3.5.6-4ubuntu2
运行在以下环境
硬件 netapp cn1610 - -
阿里云评分
3.1
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    POC 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    100
CWE-ID 漏洞类型
CWE-400 未加控制的资源消耗(资源穷尽)
阿里云安全产品覆盖情况