1. 墨知首页
  2. 漏洞

OpenSSL TLSv1.3 拒绝服务漏洞 (CVE-2024-2511)

漏洞
漏洞类型 拒绝服务 发现时间 2024-04-09 漏洞等级 低危
MPS编号 MPS-1nsb-30rg CVE编号 CVE-2024-2511 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。
当服务器启用了SSL_OP_NO_TICKET选项,但未配置early_data支持和默认的抗重放保护时,会话缓存将无法在达到一定条件后正确刷新,从而持续增长直至内存耗尽。攻击者可以通过恶意操作刻意触发这一情况。该漏洞不影响TLS客户端,且仅限于支持TLSv1.3的TLS服务器。
参考链接:https://www.oscs1024.com/hd/MPS-1nsb-30rg

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
openssl [3.0, 3.0.14) 升级 将组件 openssl 升级至 3.0.14 及以上版本
openssl [3.1, 3.1.6) 升级 将组件 openssl 升级至 3.1.6 及以上版本
openssl [3.2, 3.2.2) 升级 将组件 openssl 升级至 3.2.2 及以上版本
openssl [1.1.1, 1.1.1y) 升级 将组件 openssl 升级至 1.1.1y 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-1nsb-30rg

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-1nsb-30rg

https://nvd.nist.gov/vuln/detail/CVE-2024-2511

https://github.com/openssl/openssl/commit/7e4d731b1c07201ad9374c1cd9ac5263bdf35bce

https://github.com/openssl/openssl/commit/b52867a9f618bb955bed2a3ce3db4d4f97ed8e5d

https://github.com/openssl/openssl/commit/e9d7083e241670332e0443da0f0d4ffb52829f08

https://www.openssl.org/news/secadv/20240408.txt

(0)
上一篇 2024年4月6日 上午12:00
下一篇 2024年4月11日 下午10:00

相关推荐

  • Node.js child_process.spawn Windows命令注入漏洞 (CVE-2024-27980) 漏洞

    Node.js child_process.spawn Windows命令注入漏洞 (CVE-2024-27980)

    漏洞类型 参数注入或修改 发现时间 2024-04-11 漏洞等级 严重 MPS编号 MPS-d5b7-omr9 CVE编号 CVE-2024-27980 漏洞影响广度 广 漏洞危害 OSCS 描述 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境,用于构建快速、可扩展的网络应用程序。 Windows 的 Create…

    2024年4月12日
    0
  • curl HSTS长文件名清除内容漏洞 (CVE-2023-46219) 漏洞

    curl HSTS长文件名清除内容漏洞 (CVE-2023-46219)

    漏洞类型 敏感信息泄露 发现时间 2023-12-06 漏洞等级 低危 MPS编号 MPS-b3tl-rgea CVE编号 CVE-2023-46219 漏洞影响广度 小 漏洞危害 OSCS 描述 curl 是用于在各种网络协议之间传输数据的命令行工具。 由于curl的Curl_fopen函数保存HSTS 数据的文件名后面添加了一个后缀,创建了一个临时文件,…

    2023年12月7日
    0
  • F5 BIG-IP 远程代码执行漏洞 (CVE-2023-46747) 漏洞

    F5 BIG-IP 远程代码执行漏洞 (CVE-2023-46747)

    漏洞类型 使用候选路径或通道进行的认证绕过 发现时间 2023-10-27 漏洞等级 严重 MPS编号 MPS-79fi-qctw CVE编号 CVE-2023-46747 漏洞影响广度 广 漏洞危害 OSCS 描述 F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡、智能DNS,远程接入策略管理等功能的应用交付平台。 F5 BIG-IP通过Ap…

    2023年10月27日
    0
  • PaddlePaddle<2.6.0 存在命令注入漏洞 (CVE-2023-52310) 漏洞

    PaddlePaddle<2.6.0 存在命令注入漏洞 (CVE-2023-52310)

    漏洞类型 OS命令注入 发现时间 2024-01-03 漏洞等级 严重 MPS编号 MPS-byhf-uv17 CVE编号 CVE-2023-52310 漏洞影响广度 一般 漏洞危害 OSCS 描述 PaddlePaddle(飞桨)是百度研发的深度学习平台。PaddlePaddle 中,Pass 表示对所有训练数据进行一次完整的前向和反向传播。 Paddle…

    2024年1月4日
    0

  • PHP CGI Windows下远程代码执行漏洞 (CVE-2024-4577)

    漏洞类型 输入验证不恰当 发现时间 2024-06-07 漏洞等级 高危 MPS编号 MPS-wk9q-5g71 CVE编号 CVE-2024-4577 漏洞影响广度 漏洞危害 OSCS 描述 PHP是一种在服务器端执行的脚本语言。 在 PHP 的 8.3.8 版本之前存在命令执行漏洞,由于 Windows 的 “Best-Fit Mapping…

    漏洞 2024年6月7日
    0