OpenSSL All 0.9.8
OpenSSL All 1.0.1
OpenSSL 1.0.2 through 1.0.2h
OpenSSL 1.1.0
修复方案
升级OpenSSL 为1.1.0b或1.0.2j
漏洞详情
在OpenSSL针对SSL/TLS协议握手过程的实现中,允许客户端重复发送打包的“SSL3_RT_ALERT” -> “SSL3_AL_WARNING”类型明文未定义警告包,且OpenSSL在实现中遇到未定义警告包时仍选择忽略并继续处理接下来的通信内容。攻击者可以容易的利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率。所有使用OpenSSL版本库中的SSL/TLS协议都是可能受影响的,其中提供HTTPS服务的Nginx可以容易的被攻击到无法提供服务。
参考链接