OpenSSL再爆多处高危漏洞

OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/

 

受影响的版本包括:

  • OpenSSL 1.0.1 through 1.0.1g

  • OpenSSL 1.0.0 through 1.0.0l

  • all versions before OpenSSL 0.9.8y

未影响版本:

  • OpenSSL 1.0.1h

  • OpenSSL 1.0.0m

  • OpenSSL 0.9.8za

 

 

相关漏洞详情:

http://www.openssl.org/news/secadv_20140605.txt

其中一个漏洞CVE-2014-0195将导致任意代码执行,该漏洞影响DTLS客户端或服务端

CVE-2014-0224:中间人欺骗(MITM)漏洞,影响客户端(全版本)和服务端(1.0.1 and 1.0.2-beta1)

建议:

OpenSSL 0.9.8 SSL/TLS users (client and/or server) 请更新到 0.9.8za.

OpenSSL 1.0.0 SSL/TLS users (client and/or server) 请更新到 1.0.0m.

OpenSSL 1.0.1 SSL/TLS users (client and/or server) 请更新到 1.0.1h.

CVE-2014-0221:拒绝服务漏洞,攻击者可通过发送一个恶意的DTLS握手包,导致拒绝服务

建议:

OpenSSL 0.9.8 DTLS用户请更新到0.9.8za

OpenSSL 1.0.0 DTLS用户请更新到1.0.0m.

OpenSSL 1.0.1 DTLS用户请更新到1.0.1h.

CVE-2014-0195:任意代码执行漏洞,攻击者可发送一个恶意的DTLS fragmetns到OpenSSL DTLS客户端或服务端,将能够在存在漏洞的客户端或服务端引起任意代码执行

建议:

OpenSSL 0.9.8 DTLS 用户请更新到 0.9.8za

OpenSSL 1.0.0 DTLS 用户请更新到 1.0.0m.

OpenSSL 1.0.1 DTLS 用户请更新到 1.0.1h.

CVE-2014-0198:拒绝服务漏洞,do_ssl3_write()函数允许远程用户通过一个空指针引用,这个漏洞仅仅影响OpenSSL 1.0.0和1.0.1当SSL_MODE_RELEASE_BUFFERS开启的环境(非默认选项)

建议:

OpenSSL 1.0.0 用户请更新到 1.0.0m.

OpenSSL 1.0.1 用户请更新到 1.0.1h.

 

CVE-2010-5298:会话注入&拒绝服务漏洞,攻击者利用ssl3_read_bytes 函数的竞争机制可以在会话之间注入数据或者使服务端拒绝服务。

此漏洞仅影响使用OpenSSL1.0.0多线程应用程序

和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被启用(不常见,并非默认设置)

CVE-2014-3470:拒绝服务漏洞,当OpenSSL TLS客户端启用匿名ECDH密码套件可能导致拒绝服务攻击。

建议:

OpenSSL 0.9.8 用户请更新到 0.9.8za

OpenSSL 1.0.0 用户请更新到 1.0.0m.

OpenSSL 1.0.1 用户请更新到 1.0.1h.

 

posted @ 2014-06-05 21:05  夏虫xm  阅读(628)  评论(0编辑  收藏  举报