休闲娱乐生活服务其他类别
热门新闻更多
实时热点榜单热门视频发现好货
阅读下一篇视频推荐近日，国外安全机构Federacy发布一项公开仓库中的Docker镜像漏洞调查，结果显示有24%的Docker镜像存在多个已知漏洞，影响最广泛的是一个名为SSL Death Alert(死亡警戒)的拒绝服务漏洞。据悉该漏洞由中国安全团队360GearTeam发现，并提交给厂商在2016年10月完成修复，但目前在公开仓库中仍有很大比例的Docker镜像没有进行安全更新。
近日，国外安全机构Federacy发布一项公开仓库中的Docker镜像漏洞调查，结果显示有24%的Docker镜像存在多个已知漏洞，影响最广泛的是一个名为SSL Death Alert(死亡警戒)的拒绝服务漏洞。据悉该漏洞由中国安全团队360GearTeam发现，并提交给厂商在2016年10月完成修复，但目前在公开仓库中仍有很大比例的Docker镜像没有进行安全更新。　　Federacy调查原文：/docker_image_vulnerabilities　　&　　SSL Death Alert是由360GearTeam安全研究员石磊在阅读OpenSSL源码时发现的，它是基础开源加密软件OpenSSL和GnuTLS的漏洞，会导致基于GnuTLS、OpenSSL和NSS编译的软件产生拒绝服务攻击，也可以直接远程影响到Nginx、Apache等重要Web组件的正常运行。由于大部分Docker镜像包含这些基础软件，因此也受到漏洞影响。　　发现漏洞后，360GearTeam第一时间将SSL Death Alert的技术细节提交给OpenSSL 官方和 RedHat 产品安全团队。2016年10月，OpenSSL、Debian以及Redhat/CentOS都发布安全公告(漏洞编号：CVE-)，并推出软件更新版本。但是由于部分企业缺乏安全运维能力，此漏洞在官方修复半年后竟成为Docker镜像的“大杀器”。　　Docker容器是一种轻量级的虚拟化解决方案，可以简化服务器部署，隔离系统上的不同服务，整合服务器资源等，是云计算的重要基础组件。镜像是Docker中的核心技术，用以支撑Docker容器的运行。各大软件发行商可以提供一个基础的Docker镜像，比如Ubuntu、Debian、RHEL等，类似于一个基本的发行版环境;开发者或者运维人员还可以在基础镜像中部署一些其他环境，比如MySQL、SSL等。　　在网络世界，大量服务器端软件都会使用OpenSSL，Docker作为云计算基础，能够为企业提供各种PaSS服务，这些服务中很多都会用到OpenSSL。一旦SSL Death Alert漏洞被黑客恶意利用，使用Docker的网站和企业的服务器将面临着被轻易攻击瘫痪的危险，对企业造成严重损失，同时也会影响到用户对各种互联网服务的正常使用。Federacy的Docker镜像漏洞调查就是为此敲响了警钟。　　360GearTeam表示，对于SSL Death Alert这类基础软件漏洞，企业的安全运维人员应全面排查相关软件的部署状况，及时采取升级版本等安全更新措施，从而彻底消除漏洞风险。　　关于360GearTeam　　360GearTeam是360公司旗下一支专注于互联网基础组件安全研究的新锐团队，2016年获QEMU、Xen、VirtualBox等虚拟化软件致谢65次，以及OpenSSL、NTP、Firefox等重要开源项目致谢49次，成立不到一年时间就荣获了上百次漏洞报告致谢，达到世界领先水平。　　关于SSL Death Alert漏洞　　在OpenSSL针对SSL/TLS协议握手过程的实现中，允许客户端重复发送打包的 "SSL3_RT_ALERT" -& "SSL3_AL_WARNING" 类型明文未定义警告包，且OpenSSL在实现中遇到未定义警告包时仍选择忽略并继续处理接下来的通信内容(如果有的话)。攻击者可以容易的利用该缺陷在一个消息中打包大量未定义类型警告包，使服务或进程陷入无意义的循环，从而导致占用掉服务或进程100%的CPU使用率。同样的问题也存在于Gnutls软件中。　　漏洞修复方案　　从供应商获得软件更新，参考以下链接：　　OpenSSL：https://www.openssl.org/source/　　Debian：https://security-tracker.debian.org/tracker/CVE-　　Redhat/CentOS：/security/cve/CVE-
热门文章排行OpenSSL红色警戒（SSL Death Alert）漏洞 - 杭州迪普科技股份有限公司
网络安全产品
应用交付产品
基础网络产品
服务类业务
OpenSSL红色警戒（SSL Death Alert）漏洞
发布日期：
漏洞发现时间：漏洞编号：CVE-受影响软件：OpenSSL All 0.9.8OpenSSL All 1.0.1OpenSSL 1.0.2 - 1.0.2hOpenSSL 1.1.0漏洞描述：&OpenSSL中存在一个影响广泛的远程匿名拒绝服务漏洞。该漏洞是由于未定义警告包的处理不当使ssl/s3_pkt.c中的&ssl3_read_bytes&可能导致很高的CPU使用率。攻击者可以利用该缺陷在一个消息中打包大量定义未类型警告包，使服务或进程陷入无意义的循环，从而导致占用掉服务或进程100%的CPU使用率。所有使用OpenSSL版本库中的SSL/TLS协议都可能受到影响。目前已确认该漏洞影响到提供HTTPS(包括SSL和TLS协议)服务的Nginx。&来源参考：专家建议：建议立即对受影响和可能受影响的业务进行安全补丁或升级到不受影响的版本。厂商补丁：暂无
MySQL / MariaDB / PerconaDB 的提权/条件竞争漏洞
微软发布2016年10月安全公告当前位置： && 知识详情
【补丁分析】CVE-：对导致拒绝服务的“SSL Death Alert”漏洞补丁分析
阅读：463次
翻译：预估稿费：100RMB（不服你也来投稿啊！）投稿方式：发送邮件至，或登陆在线投稿前言最近，一个针对OpenSSL红色警戒(SSL Death Alert)漏洞的安全补丁引起了我们的关注。与其他严重的安全漏洞一样，这个漏洞同样也引起了我们的注意，因为据漏洞的发现者称，有此漏洞的OpenSSL Web服务器可能会受到拒绝服务攻击的威胁。为了更好地保护我们的客户免受这种攻击，McAfee Labs IPS漏洞研究小组针对这个问题展开了深入的调查，以便提供针对该漏洞的检测和预防措施。漏洞分析我们的分析工作是从最近推出的代码的补丁差异报告开始着手的。从以上报告可以看到，为了解决这个问题，已经对多个文件进行了相应的修改。其中，利用diff命令检查include/openssl/ssl.h后发现，它引入了新的错误代码SSL_R_TOO_MANY_WARN_ALERTS（409）。在ssl/record/record_locl.h中，我们可以看到其中引入了MAX_WARN_ALERT_COUNT，并将其设为5。现在，让我们来深入考察实际的补丁代码，它位于文件ssl/record/rec_layer_d1.c和ssl/record/rec_layer_s3.c中。下图显示了两个文件中的补丁更改情况。ssl/record/rec_layer_d1.cssl/record/rec_layer_s3.c正如我们所看到的那样，这个补丁非常简单。它只是对连续的SSL3_AL_WARNING警报包的层数进行累加，并检查计数是否大于5。如果计数大于5，它会引发错误。利用这个安全问题&为了针对这种DoS攻击提供相应的检测和预防措施，我们创建了一个最简单的概念证明代码。虽然没有公开的漏洞利用代码可用，但是该漏洞的通报已经提供了大量的技术细节。要想利用这个安全漏洞，我们必须引发SSL握手过程。作为握手过程的一部分，攻击者必须向服务器发送一个正常的客户端 Hello数据包。以下屏幕截图显示了攻击的第一阶段捕获的数据包，即正常的客户端Hello数据包。如安全公告中所述，为了耗尽CPU，我们需要向服务器发送大量精心设计的明文SSL3_AL_WARNING警报数据包。为此，我们必须了解警报包的结构。根据这个TLS协议备忘录的规定，该消息如下所示。该警报消息可以进行加密，但就这里而言，我们必须向有此漏洞的服务器发送明文警报。以下屏幕截图显示了在我们的测试环境中捕获的SSL3_AL_WARNING数据包。接下来，我们看一下在单个消息中打包的多个警报。该警报包的结构如下所示：&为了对开发的漏洞利用代码进行测试，我们配置了一个支持OpenSSL、自签名证书和私钥的测试服务器。以下屏幕截图表明，该服务器正在侦听4433端口，并且正在与SSL客户端进行通信。当服务器与客户端进行正常SSL通信的时候，该服务器进程的CPU消耗并未出现异常。然而，一旦通过该漏洞利用代码对服务器发动攻击，我们就会发现该服务器进程立即就会停止响应，因为CPU使用率马上高达99％，并且几秒钟后会达到100％。当CPU利用率爆表的时候，自然会导致OpenSSL服务器拒绝服务，因为它已经无法访问了。在上述测试环境中，我们注意到，只要该漏洞利用代码一旦停止发送恶意数据包，SSL服务就会立即恢复。总结服务器管理员应尽快给OpenSSL服务器安装相应的补丁程序。McAfee网络安全平台（IPS）的0x45c09000签名可以用来检测和预防该攻击。
本文由 安全客 翻译，转载请注明“转自安全客”，并附上链接。
参与讨论，请先
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]当前位置： >
CVE-:SSL Death Alert漏洞公告
时间： 16:12 来源：未知 作者：SecYe安全 阅读：次
来自Qihoo 360 Gear Team的安全研究员石磊（360信息安全部）发现OpenSSL中存在一个影响广泛的远程匿名拒绝服务漏洞，该漏洞被命名为&SSL Death Alert& (即&OpenSSL红色警戒&漏洞)，通用漏洞编号CVE-。
目前已确认该漏洞影响到互联网广泛提供HTTPS(包括SSL和TLS协议)服务的Nginx，OpenSSL官方已经于完成源码层面的修复，建议立即跟进修复！
什么是OpenSSL？
OpenSSL 是一个开源的安全套接字层实现库，包括常见的密码算法（RSA、AES、DES等）、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。OpenSSL具有优秀的跨平台性能，OpenSSL支持Linux、Windows、BSD、Mac、VMS等平台。在HTTPS协议实际应用方面，它经常和Nginx、Apache等搭配使用提供安全的Web服务。
漏洞与危害描述
在OpenSSL针对SSL/TLS协议握手过程的实现中，允许客户端重复发送打包的 &SSL3_RT_ALERT& -& &SSL3_AL_WARNING& 类型明文未定义警告包，且OpenSSL在实现中遇到未定义警告包时仍选择忽略并继续处理接下来的通信内容（如果有的话）。攻击者可以容易的利用该缺陷在一个消息中打包大量未定义类型警告包，使服务或进程陷入无意义的循环，从而导致占用掉服务或进程100%的CPU使用率。
所有使用OpenSSL版本库中的SSL/TLS协议都是可能受影响的（我们没有做更多的验证）， 其中提供HTTPS服务的Nginx是可以容易的被攻击到无法提供服务。
该漏洞被命名为 &SSL Death Alert&，即&OpenSSL红色警戒&漏洞。
&SSL Death ALert&漏洞由来自奇虎360 Gear Team的安全研究员石磊（360信息安全部）发现并报告给OpenSSL官方和相关开源组织，通用漏洞编号为CVE-。
受影响的OpenSSL版本
OpenSSL 1.1.0
OpenSSL 1.0.2 - 1.0.2h
OpenSSL All 1.0.1
OpenSSL All 0.9.8&
不受影响的版本
OpenSSL &= 1.0.2j
OpenSSL &= 1.1.0b
建议立即对受影响和可能受影响的业务进行安全补丁或升级到不受影响的版本。
本文来源：SecYe安全网[] (责任编辑：SecYe安全)