漏洞描述:
该漏洞允许远程攻击者执行拒绝服务(DoS)攻击。该漏洞是由于使用NPN时SSL_select_next_proto()函数中的边界条件而存在的。远程攻击者可以向应用程序发送特制数据,触发越界读取并执行拒绝服务(DoS)攻击。
影响产品:
未提供具体版本信息
检测方法:
审计代码,查找直接调用SSL_select_next_proto函数的地方,检查是否有传入长度为0的客户端支持协议列表的情况。
修复方案:
等待并应用OpenSSL的下一个版本更新,该更新将包含对此问题的修复。
披露日期:
2025-04-25
