OpenSSL修复OCSP状态请求扩展严重漏洞

9月22日，OpenSSL修复了OCSP状态请求扩展严重漏洞，这是其修复的14个漏洞中最为严重的一个，建议受影响的用户升级到最新版本避免被攻击。

漏洞概述

OCSP是在线证书状态协议，客户端可以通过该协议请求验证数字证书的状态。该漏洞CVE-2016-6304可以通过一个恶意的客户端发送大量OCSP状态请求扩展，如果该客户端不断请求重新协商，每次发送大量OCSP状态请求，那么服务器就会出现无限内存增长。最终服务器将内存耗尽而导致拒绝服务攻击。默认OpenSSL配置的服务器会受影响，即使其并不支持 OCSP，除非在编译时使用了“no-ocsp”编译选项。

受影响的版本

OpenSSL Project OpenSSL < 1.1.0a

OpenSSL Project OpenSSL < 1.0.2i

OpenSSL Project OpenSSL < 1.0.1u

不受影响的版本

OpenSSL Project OpenSSL 1.1.0a

OpenSSL Project OpenSSL 1.0.2i

OpenSSL Project OpenSSL 1.0.1u

修复建议

升级到最新版本可避免被攻击。不需要注销私钥或证书，攻击者不能窃取到私钥。

补丁地址：https://www.openssl.org/source/

消息来源：OpenSSL官网 沃通WoSign整理