亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號:CNTA-2016-0057

近日，國家信息安全漏洞共享平臺（CNVD）收錄了OpenSSL存在多個拒絕服務(wù)漏洞（CNVD-2016-11090、CNVD-2016-11095、CNVD-2016-11093，對應(yīng)CVE-2016-7054、CVE-2016-7053、CVE-2016-7055）。遠(yuǎn)程攻擊者利用上述漏洞，可發(fā)起拒絕服務(wù)攻擊，導(dǎo)致內(nèi)存或CPU資源耗盡。

一、漏洞情況分析

OpenSSL是OpenSSL團(tuán)隊開發(fā)的一個開源的能夠?qū)崿F(xiàn)安全套接層（SSL v2/v3）和安全傳輸層（TLS v1）協(xié)議的通用加密庫，它支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等。

（一）OpenSSL拒絕服務(wù)漏洞（CNVD-2016-11090）

由于TLS鏈接使用的*-CHACHA20-POLY1305密碼組件，通過破壞大量的有效荷載易受到拒絕服務(wù)攻擊，可能導(dǎo)致OpenSSL的崩潰。遠(yuǎn)程攻擊者利用該漏洞，可造成應(yīng)用程序拒絕服務(wù)，CNVD對該漏洞的綜合評級為“高危”。

（二）OpenSSL空指針廢棄拒絕服務(wù)漏洞（CNVD-2016-11095）

程序在試圖釋放某些無效編碼時，錯誤處理OpenSSL 1.1.0中的ASN.1選擇類型，可導(dǎo)致一個NULL值被傳遞給回調(diào)結(jié)構(gòu)，當(dāng)NULL指針解析無效的CMS結(jié)構(gòu)可導(dǎo)致應(yīng)用程序崩潰。僅使用不處理空值的回調(diào)函數(shù)的選擇結(jié)構(gòu)時受到影響。CNVD對該漏洞的綜合評級為“中危”。

（三）OpenSSL拒絕服務(wù)漏洞（CNVD-2016-11093）

當(dāng)Broadwell-specific Montgomery乘法運算程序在處理輸入長度超過256bits數(shù)據(jù)時，可導(dǎo)致應(yīng)用程序崩潰。分析表明，由于存在問題的子程序不使用私鑰本身的操作和攻擊者的直接輸入，攻擊者不能攻擊RSA，DSA和DH密鑰。在EC算法中只有Brainpool P-512 curves受到影響，有可能存在針對ECDH的密鑰協(xié)商攻擊。CNVD對該漏洞的綜合評級依次為“低危”。

二、漏洞影響范圍

上述漏洞影響OpenSSL1.1.0版本。

三、漏洞修復(fù)建議

目前，廠商已發(fā)布了漏洞修復(fù)程序，用戶可將程序升級至1.1.0c版本。

附：參考鏈接：

https://www.openssl.org/news/secadv/20161110.txt

https://www.openssl.org/（補(bǔ)丁地址）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11090

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11095

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11093