Death Alert」OpenSSL 远程拒绝服务漏洞（CVE-2016-861

危害描述

在 OpenSSL 针对 SSL/TLS 协议握手过程的实现中，允许客户端重复发送打包的SSL3_RT_ALERT -> SSL3_AL_WARNING类型明文未定义警告包。同时，OpenSSL 的代码中在遇到未定义警告包时会选择忽略并继续处理接下来的通信内容（如果有的话）。攻击者可以利用该缺陷在一个消息中打包大量未定义类型警告包，使服务或进程陷入无意义的循环，从而导致进程100%的 CPU 使用率。

影响范围

• OpenSSL 1.1.0a

• OpenSSL 1.0.2a - 1.0.2h

• OpenSSL 1.0.1 所有版本

• OpenSSL 0.9.8 所有版本

修复方案

1. 将 OpenSSL 升级到最新版：

• OpenSSL 1.1.0 应升级到 1.1.0b 或更高版本

• OpenSSL 1.0.2 应升级到 1.0.2j 或更高版本

• OpenSSL 1.0.1 应升级到 1.0.2 或更高版本