亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號:CNTA-2014-0023

?2014年8月6日，OpenSSL發(fā)布了2014年8月份安全公告，修復(fù)了OpenSSL產(chǎn)品存在的9個安全漏洞，涉及SSL/TLS和DTLS兩種協(xié)議。允許攻擊者利用漏洞獲取敏感信息或者發(fā)起拒絕服務(wù)攻擊，目前廠商已經(jīng)發(fā)布了上述產(chǎn)品的補丁升級程序，CNVD建議相關(guān)用戶及時下載使用。具體詳情如下所示：

?一、漏洞情況分析

OpenSSL是一個安全套接字層密碼庫，囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協(xié)議，并提供豐富的應(yīng)用程序供測試或其它目的使用。

（一）OpenSSL信息泄露漏洞 (CNVD-2014-04838)

該產(chǎn)品中OBJ_obj2txt存在缺陷可能引起堆泄露信息，諸如X509_name_oneline,X509_name_print_ex et al打印功能反復(fù)輸出。允許攻擊者利用漏洞訪問敏感信息或者發(fā)起進一步攻擊。

（二）OpenSSL空指針引用本地拒絕服務(wù)漏洞 (CNVD-2014-04836)

該漏洞影響OpenSSL客戶端，允許惡意服務(wù)器通過指定一個SRP密碼套件（這個密碼套件與客戶端可以不匹配），利用空指針引用導(dǎo)致客戶端崩潰。

（三）OpenSSL遠程拒絕服務(wù)漏洞 (CNVD-2014-04830)

該產(chǎn)品中ssl_parse_serverhello_tlsext存在競爭條件錯誤，通過使用恢復(fù)會話和服務(wù)器發(fā)送一個ec點格式擴展，使多線程客戶端連接到惡意服務(wù)器，當用戶寫到255個字節(jié)就釋放內(nèi)存，導(dǎo)致拒絕服務(wù)。

（四）OpenSSL DTLS遠程拒絕服務(wù)漏洞（CNVD-2014-04832、CNVD-2014-04833、CNVD-2014-04835、CNVD-2014-04837）

DTLS是數(shù)據(jù)包傳輸層安全性協(xié)議。OpenSSL DTLS存在多個遠程拒絕服務(wù)漏洞。允許攻擊者通過加載DTLS包、處理DTLS交換消息、精心構(gòu)造地DTLS包、啟用匿名(EC)DH密碼套件等幾種方式發(fā)起拒絕服務(wù)攻擊。

（五）OpenSSL中間人安全繞過漏洞（CNVD-2014-04834）

OpenSSL SSL/TLS服務(wù)器代碼存在缺陷，當ClientHello消息被嚴重地破壞后會導(dǎo)致服務(wù)器越過TLS 1.0來代替更高協(xié)議的版本，允許攻擊者通過中間人的方式修改客戶的TLS記錄，并被迫降級到TLS 1.0版本，即使服務(wù)器和客戶端支持更高版本的協(xié)議。

（六）OpenSSL SRP遠程拒絕服務(wù)漏洞（CNVD-2014-04831）

SRP（ Secure RemotePassword）安全遠程密碼，是一個開放源代碼認證協(xié)議。OpenSSL SRP存在遠程拒絕服務(wù)漏洞。當惡意客戶端或者服務(wù)器發(fā)送無效的SRP參數(shù)，超過內(nèi)部緩沖區(qū)時，可以導(dǎo)致遠程拒絕服務(wù)。

二、漏洞影響評估

CNVD對上述漏洞中“OpenSSL遠程拒絕服務(wù)漏洞（CNVD-2014-04830）、OpenSSL DTLS遠程拒絕服務(wù)漏洞（CNVD-2014-04832、CNVD-2014-04833、CNVD-2014-04837）”的綜合評級為“高危”，其余均為“中?！?。

?三、解決方案：

上述產(chǎn)品的漏洞影響版本：0.9.8、1.0.0及1.0.1，相關(guān)產(chǎn)品的補丁升級程序已經(jīng)發(fā)布，請廣大用戶及時更新到如下版本：

OpenSSL 0.9.8 upgrade to 0.9.8zb

OpenSSL 1.0.0 upgrade to 1.0.0n.

OpenSSL 1.0.1 upgrade to 1.0.1i.

參考信息：

https://www.openssl.org/news/secadv_20140806.txt