昨日，OpenSSL公布了一些关于高危漏洞的安全信息，部分信息如下：

OCSP状态请求延期导致无限的内存增长(CVE-2016-6304)

严重级别：高等

• 恶意的客户端会发送一个过大的OCSP状态请求延期。如果这个客户端不断请求重新协商，每次发送大量OCSP状态请求延期，这会使服务器的内存无限消耗。这最终会因为内存被耗尽而导致DoS攻击。使用默认配置的服务器是容易遭受攻击的，即使他们不支持OSCP。通过使用“无OCSP”配置时间选项不会受影响。

• 服务器使用OpenSSL 1.0.1g之前的版本并使用默认配置不会易遭受攻击，除非一个应用程序明确允许支持OCSP，建议

  OpenSSL 1.1.0用户升级到1.1.0a，OpenSSL 1.0.2用户升级到1.0.2i，OpenSSL 1.0.1用户升级到1.0.1u

• 这个问题于2016/08/29由Shi Leica(Gear Team,Qihoo 360 Inc)报告，由OpenSSL开发团队的Matt Caswell修复

SSL_peek()挂断空记录(CVE-2016-6305)

严重级别：中等

• OpenSSL 1.1.0 SSL/TLS 会在发送一个会话给SSL_peek()的期间且发送一个空记录时挂起。这可能会被恶意的同行通过DoS攻击利用。建议使用OpenSSL 1.1.0的用户升级到 1.1.0a

• 这个问题于2016/09/10由Alex Gaynor报告，由OpenSSL开发团队的Matt Caswell修复

OpenSSL还公布很多严重程度为低等的漏洞，具体信息请访问原网站查看。

文章转载自：开源中国社区 [http://www.oschina.net]