漏洞概述 CVE编号: CVE-2026-55950 漏洞类型: 时间检查时间使用(TOCTOU)竞态条件 CVSS评分: 8.7(高危) 漏洞描述: Erlang/OTP ssl 模块中的 存在一个竞态条件漏洞,允许未认证的远程攻击者通过发送多个来自相同源地址和端口的 ClientHello 消息,导致所有 DTLS 会话崩溃,从而造成拒绝服务。 影响范围 受影响模块: 受影响版本: - OTP 10.9 之前 - OTP 11.7.3, 11.6.0.3, 11.2.12.10 之前 - OTP 25.3 之前 - OTP 29.0.3, 28.5.0.3, 27.3.4.14 之前 修复方案 修复版本: - OTP 11.7.3 - OTP 11.6.0.3 - OTP 11.2.12.10 - OTP 29.0.3 - OTP 28.5.0.3 - OTP 27.3.4.14 参考链接 GitHub 安全公告 OSV 漏洞详情 GitHub 提交记录 贡献者 发现者: Lukas Backström 修复开发者: Ingela Anderton Andin 修复审查者: Dan Gudmundsson 配置要求 应用程序必须通过 接受传入的 DTLS 连接,并使用基于 UDP 的传输。仅 TLS 部署不受影响。 代码块 无 POC 代码或利用代码。