双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

OpenSSL發(fā)布2014年8月安全公告

2014-08-08 16:31:35

安全公告編號(hào):CNTA-2014-0023

?2014年8月6日,OpenSSL發(fā)布了2014年8月份安全公告,修復(fù)了OpenSSL產(chǎn)品存在的9個(gè)安全漏洞,涉及SSL/TLS和DTLS兩種協(xié)議。允許攻擊者利用漏洞獲取敏感信息或者發(fā)起拒絕服務(wù)攻擊,目前廠商已經(jīng)發(fā)布了上述產(chǎn)品的補(bǔ)丁升級(jí)程序,CNVD建議相關(guān)用戶及時(shí)下載使用。具體詳情如下所示:

?一、漏洞情況分析

OpenSSL是一個(gè)安全套接字層密碼庫,囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協(xié)議,并提供豐富的應(yīng)用程序供測(cè)試或其它目的使用。

(一)OpenSSL信息泄露漏洞 (CNVD-2014-04838)

該產(chǎn)品中OBJ_obj2txt存在缺陷可能引起堆泄露信息,諸如X509_name_oneline,X509_name_print_ex et al打印功能反復(fù)輸出。允許攻擊者利用漏洞訪問敏感信息或者發(fā)起進(jìn)一步攻擊。

(二)OpenSSL空指針引用本地拒絕服務(wù)漏洞 (CNVD-2014-04836)

該漏洞影響OpenSSL客戶端,允許惡意服務(wù)器通過指定一個(gè)SRP密碼套件(這個(gè)密碼套件與客戶端可以不匹配),利用空指針引用導(dǎo)致客戶端崩潰。

(三)OpenSSL遠(yuǎn)程拒絕服務(wù)漏洞 (CNVD-2014-04830)

該產(chǎn)品中ssl_parse_serverhello_tlsext存在競爭條件錯(cuò)誤,通過使用恢復(fù)會(huì)話和服務(wù)器發(fā)送一個(gè)ec點(diǎn)格式擴(kuò)展,使多線程客戶端連接到惡意服務(wù)器,當(dāng)用戶寫到255個(gè)字節(jié)就釋放內(nèi)存,導(dǎo)致拒絕服務(wù)。

(四)OpenSSL DTLS遠(yuǎn)程拒絕服務(wù)漏洞(CNVD-2014-04832、CNVD-2014-04833、CNVD-2014-04835、CNVD-2014-04837)

DTLS是數(shù)據(jù)包傳輸層安全性協(xié)議。OpenSSL DTLS存在多個(gè)遠(yuǎn)程拒絕服務(wù)漏洞。允許攻擊者通過加載DTLS包、處理DTLS交換消息、精心構(gòu)造地DTLS包、啟用匿名(EC)DH密碼套件等幾種方式發(fā)起拒絕服務(wù)攻擊。

(五)OpenSSL中間人安全繞過漏洞(CNVD-2014-04834)

OpenSSL SSL/TLS服務(wù)器代碼存在缺陷,當(dāng)ClientHello消息被嚴(yán)重地破壞后會(huì)導(dǎo)致服務(wù)器越過TLS 1.0來代替更高協(xié)議的版本,允許攻擊者通過中間人的方式修改客戶的TLS記錄,并被迫降級(jí)到TLS 1.0版本,即使服務(wù)器和客戶端支持更高版本的協(xié)議。

(六)OpenSSL SRP遠(yuǎn)程拒絕服務(wù)漏洞(CNVD-2014-04831)

SRP( Secure RemotePassword)安全遠(yuǎn)程密碼,是一個(gè)開放源代碼認(rèn)證協(xié)議。OpenSSL SRP存在遠(yuǎn)程拒絕服務(wù)漏洞。當(dāng)惡意客戶端或者服務(wù)器發(fā)送無效的SRP參數(shù),超過內(nèi)部緩沖區(qū)時(shí),可以導(dǎo)致遠(yuǎn)程拒絕服務(wù)。

二、漏洞影響評(píng)估

CNVD對(duì)上述漏洞中“OpenSSL遠(yuǎn)程拒絕服務(wù)漏洞(CNVD-2014-04830)、OpenSSL DTLS遠(yuǎn)程拒絕服務(wù)漏洞(CNVD-2014-04832、CNVD-2014-04833、CNVD-2014-04837)”的綜合評(píng)級(jí)為“高?!?,其余均為“中危”。

?三、解決方案:

上述產(chǎn)品的漏洞影響版本:0.9.8、1.0.0及1.0.1,相關(guān)產(chǎn)品的補(bǔ)丁升級(jí)程序已經(jīng)發(fā)布,請(qǐng)廣大用戶及時(shí)更新到如下版本:

OpenSSL 0.9.8 upgrade to 0.9.8zb

OpenSSL 1.0.0 upgrade to 1.0.0n.

OpenSSL 1.0.1 upgrade to 1.0.1i.

參考信息:

https://www.openssl.org/news/secadv_20140806.txt