阿里云漏洞库

漏洞描述

OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密。

OpenSSL存在拒绝服务漏洞。由于恶意服务器若向DHE或ECDHE密钥交换提供了畸形的参数，允许攻击者造成客户端崩溃，导致拒绝服务。

解决建议

OpenSSL Project已经为此发布了一个安全公告（20170126）以及相应补丁:
https://www.openssl.org/news/secadv/20170126.txt

参考链接
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
http://www.securityfocus.com/bid/95812
http://www.securitytracker.com/id/1037717
https://github.com/openssl/openssl/commit/efbe126e3ebb9123ac9d058aa2bb044261342aaa
https://security.gentoo.org/glsa/201702-07
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-...
https://www.exploit-db.com/exploits/41192/
https://www.openssl.org/news/secadv/20170126.txt
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	openssl	openssl	1.1.0	-
	运行在以下环境
	应用	openssl	openssl	1.1.0a	-
	运行在以下环境
	应用	openssl	openssl	1.1.0b	-
	运行在以下环境
	应用	openssl	openssl	1.1.0c	-
	运行在以下环境
	应用	oracle	agile_engineering_data_management	6.1.3	-
	运行在以下环境
	应用	oracle	agile_engineering_data_management	6.2.0	-
	运行在以下环境
	应用	oracle	communications_application_session_controller	3.7.1	-
	运行在以下环境
	应用	oracle	communications_application_session_controller	3.8.0	-
	运行在以下环境
	应用	oracle	communications_eagle_lnp_application_processor	10.0	-
	运行在以下环境
	应用	oracle	communications_eagle_lnp_application_processor	10.1	-
	运行在以下环境
	应用	oracle	communications_eagle_lnp_application_processor	10.2	-
	运行在以下环境
	应用	oracle	communications_operations_monitor	3.4	-
	运行在以下环境
	应用	oracle	communications_operations_monitor	4.0	-
	运行在以下环境
	应用	oracle	jd_edwards_enterpriseone_tools	9.2	-
	运行在以下环境
	应用	oracle	jd_edwards_world_security	a9.1	-
	运行在以下环境
	应用	oracle	jd_edwards_world_security	a9.2	-
	运行在以下环境
	应用	oracle	jd_edwards_world_security	a9.3	-
	运行在以下环境
	应用	oracle	jd_edwards_world_security	a9.4	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 1.1.0d-1
	运行在以下环境
	系统	debian_10	openssl	*		Up to (excluding) 1.1.0d-1
	运行在以下环境
	系统	debian_11	openssl	*		Up to (excluding) 1.1.0d-1
	运行在以下环境
	系统	debian_12	openssl	*		Up to (excluding) 1.1.0d-1

攻击路径

本地
攻击复杂度

复杂
权限要求

无需权限
影响范围

越权影响
EXP成熟度

POC 已公开
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-476	空指针解引用

中危 OpenSSL up to 1.1.0c DHE/ECDHE Key Exchange NULL Pointer Dereference 拒绝服务漏洞

漏洞描述

解决建议

参考链接

受影响软件情况