加QQ81758415
快捷导航

OpenSSL DoS漏洞CVE-2018-0739及安全绕过漏洞CVE-2018-0733 誓与Apache争锋

2018-3-28 08:00| 发布者: xlbck| 查看: 19| 评论: 0|原作者: xlbck

摘要: 递归定义的ASN.1类型(例如PKCS7)恶意触发过多递归,可能导致堆栈溢出,这将引发DoS攻击。OpenSSL1.1.0-1.1.0g及1.0.2b-1.0.2n受影响。请尽快升级到1.1.0h和1.0.2o

OpenSSL看到Apache都出漏洞了,这不能让啊!OpenSSL近日爆出 DoS漏洞 ,CVEID为CVE-2018-0739,递归定义的 ASN.1 类型 (例如 PKCS7) 恶意触发过多递归,可能导致堆栈溢出,这将引发 DoS攻击 。OpenSSL1.1.0-1.1.0g及1.0.2b-1.0.2n受影响。另外及还有一个 OpenSSL 安全绕过漏洞 ,CVEID为CVE-2018-0733,OpenSSL及SecurityFocus发布预警通告。

推荐阅读:

CVE-2018-0739漏洞概要

针对CVE-2018-0739漏洞情况,安全加整理了相关内容如下,这些内容可能来自于CVE-2018-0739涉及厂商、CVE-2018-0739漏洞信息发布组织、CVE、SecurityFocus及其它第三方组织。

CVE-2018-0739漏洞标识

  • CVE ID:CVE-2018-0739
  • BUGTRAQ ID:103518
  • 漏洞涉及厂商漏洞库ID:【漏洞涉及厂商漏洞库ID】
  • CNNVD ID:【CNNVD漏洞编号】

绿盟科技漏洞库ID:【绿盟科技漏洞库ID】

CVE-2018-0739漏洞相关链接

【增补中】

  • 百度链接:https://www.baidu.com/s?wd=CVE-2018-0739
  • 绿盟科技漏洞库链接:http://www.nsfocus.net/vulndb/{绿盟科技漏洞库ID}
  • SecurityFocus链接:https://www.securityfocus.com/bid/103518
  • OpenSSL链接:https://www.openssl.org/news/secadv/20180327.txt
  • CVE链接:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0739

CVE-2018-0739漏洞描述

【增补中】

CVE评价该漏洞

递归定义的 ASN.1 类型 (such as can be found in PKCS7) 恶意触发过多递归,可能导致堆栈溢出,这将引发 DoS攻击 .  SSL / TLS中没有来自不可信来源的这样的结构,因此被认为是安全的。Fixed in OpenSSL 1.1.0h (Affected 1.1.0-1.1.0g). Fixed in OpenSSL 1.0.2o (Affected 1.0.2b-1.0.2n).

Apache评价该漏洞

使用递归定义构建ASN.1类型(例如,可以在PKCS7中找到)最终可能会超过堆栈的恶意输入过度递归。这可能会导致拒绝服务攻击。 SSL / TLS中不使用来自不受信任来源的此类结构 被认为是安全的。

SecurityFocus评价该漏洞

OpenSSL DoS漏洞 CVE-2018-0739

OpenSSL容易出现拒绝服务漏洞。攻击者可以利用此问题导致拒绝服务状态。

Bugtraq ID: 103518
Class: Failure to Handle Exceptional Conditions
CVE: CVE-2018-0739
Remote: Yes
Local: No
Published: Mar 27 2018 12:00AM
Updated: Mar 27 2018 12:00AM
Credit: Matt Caswell
Vulnerable: OpenSSL Project OpenSSL 1.1
OpenSSL Project OpenSSL 1.0.2
OpenSSL Project OpenSSL 1.1.0g
OpenSSL Project OpenSSL 1.1.0f
OpenSSL Project OpenSSL 1.1.0e
OpenSSL Project OpenSSL 1.1.0d
OpenSSL Project OpenSSL 1.1.0c
OpenSSL Project OpenSSL 1.1.0b
OpenSSL Project OpenSSL 1.1.0a
OpenSSL Project OpenSSL 1.0.2n
OpenSSL Project OpenSSL 1.0.2m
OpenSSL Project OpenSSL 1.0.2l
OpenSSL Project OpenSSL 1.0.2k
OpenSSL Project OpenSSL 1.0.2j
OpenSSL Project OpenSSL 1.0.2i
OpenSSL Project OpenSSL 1.0.2h
OpenSSL Project OpenSSL 1.0.2g
OpenSSL Project OpenSSL 1.0.2f
OpenSSL Project OpenSSL 1.0.2e
OpenSSL Project OpenSSL 1.0.2d
OpenSSL Project OpenSSL 1.0.2c
OpenSSL Project OpenSSL 1.0.2b
OpenSSL Project OpenSSL 1.0.2a
Not Vulnerable: OpenSSL Project OpenSSL 1.1.0h

OpenSSL 安全绕过漏洞CVE-2018-0733

OpenSSL容易出现安全绕过漏洞。成功地利用这个问题将允许攻击者绕过安全限制并执行未经授权的操作;这可能有助于发起进一步攻击。

Bugtraq ID: 103517
Class: Failure to Handle Exceptional Conditions
CVE: CVE-2018-0733
Remote: Yes
Local: No
Published: Mar 27 2018 12:00AM
Updated: Mar 27 2018 12:00AM
Credit: Peter Waltenberg (IBM).
Vulnerable: OpenSSL Project OpenSSL 1.1
OpenSSL Project OpenSSL 1.1.0g
OpenSSL Project OpenSSL 1.1.0f
OpenSSL Project OpenSSL 1.1.0e
OpenSSL Project OpenSSL 1.1.0d
OpenSSL Project OpenSSL 1.1.0c
OpenSSL Project OpenSSL 1.1.0b
OpenSSL Project OpenSSL 1.1.0a
Not Vulnerable: OpenSSL Project OpenSSL 1.1.0h

CVE-2018-0739漏洞影响范围

CVE-2018-0739漏洞涉及厂商

OpenSSL

CVE-2018-0739漏洞涉及产品

OpenSSL

CVE-2018-0739漏洞影响版本

Fixed in OpenSSL 1.1.0h (Affected 1.1.0-1.1.0g). Fixed in OpenSSL 1.0.2o (Affected 1.0.2b-1.0.2n).

CVE-2018-0739漏洞解决方案

【增补中】

Apache声明

OpenSSL 1.1.0用户应该升级到1.1.0h
OpenSSL 1.0.2用户应该升级到1.0.2o

{CVE-2018-0739漏洞信息发布组织}声明

【增补中】

CVE-2018-0739漏洞安全加声明

本页信息用以描述CVE-2018-0739漏洞的信息,这些信息便于您对CVE-2018-0739漏洞进行快速阅读并了解相关信息。如下信息如有空缺,则CVE-2018-0739漏洞相关内容正在增补中,如果您知悉相关内容或者如下内容有异议,可以联系站长:安全加QQ:468215215;Weixin:gnaw0725

CVE-2018-0739漏洞相关内容

CVE-2018-0739漏洞相关漏洞

CVE-2018-0733

CVE-2018-0739漏洞相关文章


鲜花

握手

雷人

路过

鸡蛋
黑客技术

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )