zoukankan      html  css  js  c++  java
  • OpenSSL再爆多处高危漏洞

    OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/

    受影响的版本包括:

    • OpenSSL 1.0.1 through 1.0.1g

    • OpenSSL 1.0.0 through 1.0.0l

    • all versions before OpenSSL 0.9.8y

    未影响版本:

    • OpenSSL 1.0.1h

    • OpenSSL 1.0.0m

    • OpenSSL 0.9.8za

    相关漏洞详情:

    http://www.openssl.org/news/secadv_20140605.txt

    其中一个漏洞CVE-2014-0195将导致任意代码执行,该漏洞影响DTLS客户端或服务端

    CVE-2014-0224:中间人欺骗(MITM)漏洞,影响客户端(全版本)和服务端(1.0.1 and 1.0.2-beta1)

    建议:

    OpenSSL 0.9.8 SSL/TLS users (client and/or server) 请更新到 0.9.8za.

    OpenSSL 1.0.0 SSL/TLS users (client and/or server) 请更新到 1.0.0m.

    OpenSSL 1.0.1 SSL/TLS users (client and/or server) 请更新到 1.0.1h.

    CVE-2014-0221:拒绝服务漏洞,攻击者可通过发送一个恶意的DTLS握手包,导致拒绝服务

    建议:

    OpenSSL 0.9.8 DTLS用户请更新到0.9.8za

    OpenSSL 1.0.0 DTLS用户请更新到1.0.0m.

    OpenSSL 1.0.1 DTLS用户请更新到1.0.1h.

    CVE-2014-0195:任意代码执行漏洞,攻击者可发送一个恶意的DTLS fragmetns到OpenSSL DTLS客户端或服务端,将能够在存在漏洞的客户端或服务端引起任意代码执行

    建议:

    OpenSSL 0.9.8 DTLS 用户请更新到 0.9.8za

    OpenSSL 1.0.0 DTLS 用户请更新到 1.0.0m.

    OpenSSL 1.0.1 DTLS 用户请更新到 1.0.1h.

    CVE-2014-0198:拒绝服务漏洞,do_ssl3_write()函数允许远程用户通过一个空指针引用,这个漏洞仅仅影响OpenSSL 1.0.0和1.0.1当SSL_MODE_RELEASE_BUFFERS开启的环境(非默认选项)

    建议:

    OpenSSL 1.0.0 用户请更新到 1.0.0m.

    OpenSSL 1.0.1 用户请更新到 1.0.1h.

    CVE-2010-5298:会话注入&拒绝服务漏洞,攻击者利用ssl3_read_bytes 函数的竞争机制可以在会话之间注入数据或者使服务端拒绝服务。

    此漏洞仅影响使用OpenSSL1.0.0多线程应用程序

    和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被启用(不常见,并非默认设置)

    CVE-2014-3470:拒绝服务漏洞,当OpenSSL TLS客户端启用匿名ECDH密码套件可能导致拒绝服务攻击。

    建议:

    OpenSSL 0.9.8 用户请更新到 0.9.8za

    OpenSSL 1.0.0 用户请更新到 1.0.0m.

    OpenSSL 1.0.1 用户请更新到 1.0.1h.

     

  • 相关阅读:
    windows 的文件夹映射实现
    项目管理工具
    SSM(Spring+SpringMVC+MyBatis)高并发优化思路
    高性能高可用高并发技术架构的一些理解
    你懂什么是分布式系统吗?Redis分布式锁都不会?
    使用批处理文件(*.bat)同时打多个cmd窗口
    mysql删除重复数据只保留一条
    native2ascii命令
    利用编辑距离(Edit Distance)计算两个字符串的相似度
    eclipse如何正确部署tomcat7
  • 原文地址:https://www.cnblogs.com/security4399/p/3771137.html
Copyright © 2011-2022 走看看