OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/
受影响的版本包括:
-
OpenSSL 1.0.1 through 1.0.1g
-
OpenSSL 1.0.0 through 1.0.0l
-
all versions before OpenSSL 0.9.8y
未影响版本:
-
OpenSSL 1.0.1h
-
OpenSSL 1.0.0m
-
OpenSSL 0.9.8za
相关漏洞详情:
http://www.openssl.org/news/secadv_20140605.txt
其中一个漏洞CVE-2014-0195将导致任意代码执行,该漏洞影响DTLS客户端或服务端
CVE-2014-0224:中间人欺骗(MITM)漏洞,影响客户端(全版本)和服务端(1.0.1 and 1.0.2-beta1)
建议:
OpenSSL 0.9.8 SSL/TLS users (client and/or server) 请更新到 0.9.8za.
OpenSSL 1.0.0 SSL/TLS users (client and/or server) 请更新到 1.0.0m.
OpenSSL 1.0.1 SSL/TLS users (client and/or server) 请更新到 1.0.1h.
CVE-2014-0221:拒绝服务漏洞,攻击者可通过发送一个恶意的DTLS握手包,导致拒绝服务
建议:
OpenSSL 0.9.8 DTLS用户请更新到0.9.8za
OpenSSL 1.0.0 DTLS用户请更新到1.0.0m.
OpenSSL 1.0.1 DTLS用户请更新到1.0.1h.
CVE-2014-0195:任意代码执行漏洞,攻击者可发送一个恶意的DTLS fragmetns到OpenSSL DTLS客户端或服务端,将能够在存在漏洞的客户端或服务端引起任意代码执行
建议:
OpenSSL 0.9.8 DTLS 用户请更新到 0.9.8za
OpenSSL 1.0.0 DTLS 用户请更新到 1.0.0m.
OpenSSL 1.0.1 DTLS 用户请更新到 1.0.1h.
CVE-2014-0198:拒绝服务漏洞,do_ssl3_write()函数允许远程用户通过一个空指针引用,这个漏洞仅仅影响OpenSSL 1.0.0和1.0.1当SSL_MODE_RELEASE_BUFFERS开启的环境(非默认选项)
建议:
OpenSSL 1.0.0 用户请更新到 1.0.0m.
OpenSSL 1.0.1 用户请更新到 1.0.1h.
CVE-2010-5298:会话注入&拒绝服务漏洞,攻击者利用ssl3_read_bytes 函数的竞争机制可以在会话之间注入数据或者使服务端拒绝服务。
此漏洞仅影响使用OpenSSL1.0.0多线程应用程序
和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被启用(不常见,并非默认设置)
CVE-2014-3470:拒绝服务漏洞,当OpenSSL TLS客户端启用匿名ECDH密码套件可能导致拒绝服务攻击。
建议:
OpenSSL 0.9.8 用户请更新到 0.9.8za
OpenSSL 1.0.0 用户请更新到 1.0.0m.
OpenSSL 1.0.1 用户请更新到 1.0.1h.