篮球体育生被捆绑玩弄j,中文精品无码中文字幕无码专区,久久久久亚洲AV片无码下载蜜桃,日韩去日本高清在线

安全公告編號:CNTA-2014-0023

?2014年8月6日，OpenSSL發(fā)布了2014年8月份安全公告，修復了OpenSSL產品存在的9個安全漏洞，涉及SSL/TLS和DTLS兩種協議。允許攻擊者利用漏洞獲取敏感信息或者發(fā)起拒絕服務攻擊，目前廠商已經發(fā)布了上述產品的補丁升級程序，CNVD建議相關用戶及時下載使用。具體詳情如下所示：

?一、漏洞情況分析

OpenSSL是一個安全套接字層密碼庫，囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協議，并提供豐富的應用程序供測試或其它目的使用。

（一）OpenSSL信息泄露漏洞 (CNVD-2014-04838)

該產品中OBJ_obj2txt存在缺陷可能引起堆泄露信息，諸如X509_name_oneline,X509_name_print_ex et al打印功能反復輸出。允許攻擊者利用漏洞訪問敏感信息或者發(fā)起進一步攻擊。

（二）OpenSSL空指針引用本地拒絕服務漏洞 (CNVD-2014-04836)

該漏洞影響OpenSSL客戶端，允許惡意服務器通過指定一個SRP密碼套件（這個密碼套件與客戶端可以不匹配），利用空指針引用導致客戶端崩潰。

（三）OpenSSL遠程拒絕服務漏洞 (CNVD-2014-04830)

該產品中ssl_parse_serverhello_tlsext存在競爭條件錯誤，通過使用恢復會話和服務器發(fā)送一個ec點格式擴展，使多線程客戶端連接到惡意服務器，當用戶寫到255個字節(jié)就釋放內存，導致拒絕服務。

（四）OpenSSL DTLS遠程拒絕服務漏洞（CNVD-2014-04832、CNVD-2014-04833、CNVD-2014-04835、CNVD-2014-04837）

DTLS是數據包傳輸層安全性協議。OpenSSL DTLS存在多個遠程拒絕服務漏洞。允許攻擊者通過加載DTLS包、處理DTLS交換消息、精心構造地DTLS包、啟用匿名(EC)DH密碼套件等幾種方式發(fā)起拒絕服務攻擊。

（五）OpenSSL中間人安全繞過漏洞（CNVD-2014-04834）

OpenSSL SSL/TLS服務器代碼存在缺陷，當ClientHello消息被嚴重地破壞后會導致服務器越過TLS 1.0來代替更高協議的版本，允許攻擊者通過中間人的方式修改客戶的TLS記錄，并被迫降級到TLS 1.0版本，即使服務器和客戶端支持更高版本的協議。

（六）OpenSSL SRP遠程拒絕服務漏洞（CNVD-2014-04831）

SRP（ Secure RemotePassword）安全遠程密碼，是一個開放源代碼認證協議。OpenSSL SRP存在遠程拒絕服務漏洞。當惡意客戶端或者服務器發(fā)送無效的SRP參數，超過內部緩沖區(qū)時，可以導致遠程拒絕服務。

二、漏洞影響評估

CNVD對上述漏洞中“OpenSSL遠程拒絕服務漏洞（CNVD-2014-04830）、OpenSSL DTLS遠程拒絕服務漏洞（CNVD-2014-04832、CNVD-2014-04833、CNVD-2014-04837）”的綜合評級為“高危”，其余均為“中?！薄?/p>

?三、解決方案：

上述產品的漏洞影響版本：0.9.8、1.0.0及1.0.1，相關產品的補丁升級程序已經發(fā)布，請廣大用戶及時更新到如下版本：

OpenSSL 0.9.8 upgrade to 0.9.8zb

OpenSSL 1.0.0 upgrade to 1.0.0n.

OpenSSL 1.0.1 upgrade to 1.0.1i.

參考信息：

https://www.openssl.org/news/secadv_20140806.txt