1. 墨知首页
  2. 漏洞

OpenSSL TLSv1.3 拒绝服务漏洞 (CVE-2024-2511)

漏洞
漏洞类型 拒绝服务 发现时间 2024-04-09 漏洞等级 低危
MPS编号 MPS-1nsb-30rg CVE编号 CVE-2024-2511 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。
当服务器启用了SSL_OP_NO_TICKET选项,但未配置early_data支持和默认的抗重放保护时,会话缓存将无法在达到一定条件后正确刷新,从而持续增长直至内存耗尽。攻击者可以通过恶意操作刻意触发这一情况。该漏洞不影响TLS客户端,且仅限于支持TLSv1.3的TLS服务器。
参考链接:https://www.oscs1024.com/hd/MPS-1nsb-30rg

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
openssl [3.0, 3.0.14) 升级 将组件 openssl 升级至 3.0.14 及以上版本
openssl [3.1, 3.1.6) 升级 将组件 openssl 升级至 3.1.6 及以上版本
openssl [3.2, 3.2.2) 升级 将组件 openssl 升级至 3.2.2 及以上版本
openssl [1.1.1, 1.1.1y) 升级 将组件 openssl 升级至 1.1.1y 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-1nsb-30rg

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-1nsb-30rg

https://nvd.nist.gov/vuln/detail/CVE-2024-2511

https://github.com/openssl/openssl/commit/7e4d731b1c07201ad9374c1cd9ac5263bdf35bce

https://github.com/openssl/openssl/commit/b52867a9f618bb955bed2a3ce3db4d4f97ed8e5d

https://github.com/openssl/openssl/commit/e9d7083e241670332e0443da0f0d4ffb52829f08

https://www.openssl.org/news/secadv/20240408.txt

(0)
上一篇 2024年4月6日 上午12:00
下一篇 2024年4月11日 下午10:00

相关推荐

  • Uptime Kuma<1.23.3 存在持久用户会话漏洞 (CVE-2023-44400) 漏洞

    Uptime Kuma<1.23.3 存在持久用户会话漏洞 (CVE-2023-44400)

    漏洞类型 会话固定 发现时间 2023-10-10 漏洞等级 中危 MPS编号 MPS-p4yv-trm8 CVE编号 CVE-2023-44400 漏洞影响广度 广 漏洞危害 OSCS 描述 Uptime Kuma 是开源的自托管的监控工具。 1.23.3 之前版本中由于未对用户cookie有效清理并且未有效设置过期时间,当用户注销或修改密码后cookie…

    2023年10月10日
    0
  • BootCDN 投毒风险 漏洞

    BootCDN 投毒风险

    漏洞类型 内嵌恶意代码 发现时间 2023/6/20 漏洞等级 高危 MPS编号 MPS-zw9i-1xkb CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 BootCDN是免费的前端开源项目 CDN 加速服务,通过同步cdnjs仓库,提供了常用javascript组件的CDN服务。多个开发者发现在特定请求中(如特定Referer及…

    2023年8月30日
    0
  • Apache Superset where_in SQL注入漏洞 (CVE-2023-49736) 漏洞

    Apache Superset where_in SQL注入漏洞 (CVE-2023-49736)

    漏洞类型 SQL注入 发现时间 2023-12-20 漏洞等级 中危 MPS编号 MPS-7r6y-8nmd CVE编号 CVE-2023-49736 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Superset 是一个数据可视化和数据探索平台。 Apache Superset 中存在一个名为 where_in 的 JINJA 宏,where_…

    2023年12月20日
    0
  • MarkText<=0.17.1 存在DOM型XSS漏洞 (CVE-2023-2318) [有POC] 漏洞

    MarkText<=0.17.1 存在DOM型XSS漏洞 (CVE-2023-2318) [有POC]

    漏洞类型 XSS 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-uvas-0cn2 CVE编号 CVE-2023-2318 漏洞影响广度 广 漏洞危害 OSCS 描述 MarkText 是热门的开源Markdown编辑器,覆盖Windows/Linux/MacOS平台。 MarkText 0.17.1及之前版本中的 pasteCtrl …

    2023年8月22日
    0
  • MLflow <2.9.2 任意文件读取漏洞(is_local_uri绕过) (CVE-2023-6977) 漏洞

    MLflow <2.9.2 任意文件读取漏洞(is_local_uri绕过) (CVE-2023-6977)

    漏洞类型 路径遍历 发现时间 2023-12-21 漏洞等级 严重 MPS编号 MPS-06sl-jy9a CVE编号 CVE-2023-6977 漏洞影响广度 一般 漏洞危害 OSCS 描述 MLflow 是用于机器学习全生命周期管理的开源工具。 在MLflow

    2023年12月22日
    0