OpenSSL “ssl3_read_bytes”拒绝服务漏洞（CVE-2016-8610）

OpenSSL "ssl3_read_bytes"拒绝服务漏洞（CVE-2016-8610）
发布日期：2016-10-31
更新日期：2016-11-03

受影响系统：

OpenSSL Project OpenSSL 1.1.0
OpenSSL Project OpenSSL 1.0.2 - 1.0.2h
OpenSSL Project OpenSSL 1.0.1
OpenSSL Project OpenSSL 0.9.8

描述：

CVE（CAN） ID: CVE-2016-8610

OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密。

OpenSSL 1.1.0, 1.0.2 - 1.0.2h, 1.0.1, 0.9.8版本，处理"SSL3_AL_WARNING"未定义警告中存在拒绝服务漏洞，此漏洞位于ssl/s3_pkt.c内的"ssl3_read_bytes"函数内。可导致服务器CPU耗尽，造成拒绝服务。

<*来源：Shi Lei
*>

建议：

厂商补丁：

OpenSSL Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.openssl.org/source/

https://git.openssl.org/gitweb/？p=openssl.git;a=commit;h=af58be768ebb690f78530f796e92b8ae5c9a4401