1. 墨知首页
  2. 漏洞

OpenSSL TLSv1.3 拒绝服务漏洞 (CVE-2024-2511)

漏洞
漏洞类型 拒绝服务 发现时间 2024-04-09 漏洞等级 低危
MPS编号 MPS-1nsb-30rg CVE编号 CVE-2024-2511 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。
当服务器启用了SSL_OP_NO_TICKET选项,但未配置early_data支持和默认的抗重放保护时,会话缓存将无法在达到一定条件后正确刷新,从而持续增长直至内存耗尽。攻击者可以通过恶意操作刻意触发这一情况。该漏洞不影响TLS客户端,且仅限于支持TLSv1.3的TLS服务器。
参考链接:https://www.oscs1024.com/hd/MPS-1nsb-30rg

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
openssl [3.0, 3.0.14) 升级 将组件 openssl 升级至 3.0.14 及以上版本
openssl [3.1, 3.1.6) 升级 将组件 openssl 升级至 3.1.6 及以上版本
openssl [3.2, 3.2.2) 升级 将组件 openssl 升级至 3.2.2 及以上版本
openssl [1.1.1, 1.1.1y) 升级 将组件 openssl 升级至 1.1.1y 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-1nsb-30rg

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-1nsb-30rg

https://nvd.nist.gov/vuln/detail/CVE-2024-2511

https://github.com/openssl/openssl/commit/7e4d731b1c07201ad9374c1cd9ac5263bdf35bce

https://github.com/openssl/openssl/commit/b52867a9f618bb955bed2a3ce3db4d4f97ed8e5d

https://github.com/openssl/openssl/commit/e9d7083e241670332e0443da0f0d4ffb52829f08

https://www.openssl.org/news/secadv/20240408.txt

(0)
上一篇 2024年4月6日 上午12:00
下一篇 2024年4月11日 下午10:00

相关推荐

  • Cacti<1.2.25 权限升级漏洞 (CVE-2023-31132) 漏洞

    Cacti<1.2.25 权限升级漏洞 (CVE-2023-31132)

    漏洞类型 关键功能的认证机制缺失 发现时间 2023-09-06 漏洞等级 高危 MPS编号 MPS-j24s-h9mc CVE编号 CVE-2023-31132 漏洞影响广度 小 漏洞危害 OSCS 描述 Cacti 是一个开源的操作监控和故障管理框架。 由于受影响版本的 Cacti 允许在 Web 目录中创建和执行 PHP 文件,当 Windows 系统…

    2023年9月11日
    0
  • Cacti<1.2.25 reports_user.php SQL注入漏洞 (CVE-2023-39358) 漏洞

    Cacti<1.2.25 reports_user.php SQL注入漏洞 (CVE-2023-39358)

    漏洞类型 SQL注入 发现时间 2023-09-06 漏洞等级 严重 MPS编号 MPS-9wzi-k37j CVE编号 CVE-2023-39358 漏洞影响广度 小 漏洞危害 OSCS 描述 Cacti 是一个开源的操作监控和故障管理框架。 Cacti 1.2.25之前版本中由于 reports_user.php 中的 ajax_get_branches…

    2023年9月7日
    0
  • JumpServer 目录穿越漏洞 (CVE-2023-42819) 漏洞

    JumpServer 目录穿越漏洞 (CVE-2023-42819)

    漏洞类型 相对路径遍历 发现时间 2023-09-27 漏洞等级 中危 MPS编号 MPS-dw07-ztm9 CVE编号 CVE-2023-42819 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 在JumpServer受影响版本中,由于在api/playbook.py文件直接使用os.path.join对file…

    2023年9月28日
    0
  • JumpServer 命令绕过漏洞 (CVE-2023-48193) 漏洞

    JumpServer 命令绕过漏洞 (CVE-2023-48193)

    漏洞类型 授权机制不恰当 发现时间 2023-11-29 漏洞等级 中危 MPS编号 MPS-20vd-8lzy CVE编号 CVE-2023-48193 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 受影响版本中,当JumpServer在设置命令过滤功能时,攻击者可以通过将过滤后的命令保存在一个.sh 脚本中,直接…

    2023年11月29日
    0
  • Apache DolphinScheduler 敏感信息泄漏 (CVE-2023-48796) 漏洞

    Apache DolphinScheduler 敏感信息泄漏 (CVE-2023-48796)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-11-24 漏洞等级 高危 MPS编号 MPS-p9et-w8rl CVE编号 CVE-2023-48796 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。 受影响版本中,由于没有限制暴露的端点,导致所有端点全部…

    2023年11月26日
    0