Golfreeze.packetlove.com: Life style of Golfreeze Canon400D Family kammtan.com Jazz Freebsd Unix Linux System Admin guitar Music

All about unix linux freebsd and FAQ for Packetlove.com Web hosting , Mail hosting , VoIP + IP PBX server => All Security via cyber space relate golfreeze task. => Topic started by: golfreeze on กันยายน 26, 2016, 10:10:07 AM

Title: ocsp คืออะไร แล้วมี bug อะไรใน openssl CVE-2016-6304 แก้ไขยังไง
Post by: golfreeze on กันยายน 26, 2016, 10:10:07 AM

OpenSSL Security Advisory [22 Sep 2016]
========================================

OCSP Status Request extension unbounded memory growth (CVE-2016-6304)
=====================================================================

Severity: High

A malicious client can send an excessively large OCSP Status Request extension.
If that client continually requests renegotiation, sending a large OCSP Status
Request extension each time, then there will be unbounded memory growth on the
server. This will eventually lead to a Denial Of Service attack through memory
exhaustion. Servers with a default configuration are vulnerable even if they do
not support OCSP. Builds using the "no-ocsp" build time option are not affected.

Servers using OpenSSL versions prior to 1.0.1g are not vulnerable in a default
configuration, instead only if an application explicitly enables OCSP stapling
support.

OpenSSL 1.1.0 users should upgrade to 1.1.0a
OpenSSL 1.0.2 users should upgrade to 1.0.2i
OpenSSL 1.0.1 users should upgrade to 1.0.1u

This issue was reported to OpenSSL on 29th August 2016 by Shi Lei (Gear Team,
Qihoo 360 Inc.). The fix was developed by Matt Caswell of the OpenSSL
development team.

อ่านเพิ่มเติม https://www.openssl.org/news/secadv/20160922.txt

Title: Re: ocsp คืออะไร แล้วมี bug อะไรใน openssl CVE-2016-6304 แก้ไขยังไง
Post by: golfreeze on กันยายน 26, 2016, 10:10:43 AM

ocsp stapling คืออะไร https://www.maxcdn.com/one/visual-glossary/ocsp-stapling/

Title: Re: ocsp คืออะไร แล้วมี bug อะไรใน openssl CVE-2016-6304 แก้ไขยังไง
Post by: golfreeze on กันยายน 26, 2016, 10:14:17 AM

วิธีการอัฟเกรด openssl ใน ubuntu/debian
#apt-get update
#apt-get upgrade

ถ้าเป็น openssl
openssl (PTS)   wheezy   1.0.1e-2+deb7u20   vulnerable
wheezy (security)   1.0.1t-1+deb7u1   fixed
jessie   1.0.1t-1+deb8u3   vulnerable
jessie (security)   1.0.1t-1+deb8u5   fixed
stretch   1.0.2h-1   vulnerable
sid   1.0.2i-1   fixed

เชคโดย
#dpkg -l | grep openssl

Title: Re: ocsp คืออะไร แล้วมี bug อะไรใน openssl CVE-2016-6304 แก้ไขยังไง
Post by: golfreeze on กันยายน 26, 2016, 10:14:56 AM

อ่านเพิ่มเติมสำหรับ os รุ่นต่างๆ ที่โดน bug ตัวนี้
http://security.360.cn/cve/CVE-2016-6304/