双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于OpenSSL修復(fù)多個(gè)安全漏洞的情況公告

2016-05-06 19:16:01

安全公告編號(hào):CNTA-2016-0019

近日,OpenSSL發(fā)布了安全公告,共含6項(xiàng)更新。其中2項(xiàng)更新的綜合評(píng)級(jí)為“高危”。國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了對(duì)應(yīng)的漏洞,遠(yuǎn)程攻擊者利用上述漏洞可導(dǎo)致程序崩潰,執(zhí)行任意代碼。

一、漏洞情況分析

OpenSSL是一個(gè)實(shí)現(xiàn)安全套接層和安全傳輸層協(xié)議的通用開源加密庫,可支持多種加密算法,包括對(duì)稱密碼、哈希算法、安全散列算法等。近期官方發(fā)布安全公告,修復(fù)如下列表漏洞:

漏洞編號(hào) 漏洞標(biāo)題 描述 評(píng)級(jí)
CNVD-2016-02676
CVE-2016-2176		 OpenSSL EBCDIC越界讀漏洞 OpenSSL EBCDIC存在越界讀漏洞。當(dāng)程序使用EBCDIC系統(tǒng)X509_NAME_oneline()函數(shù),ASN1字符串超過1024字節(jié)可導(dǎo)致越界讀,進(jìn)而可導(dǎo)致在緩沖區(qū)返回任意堆棧的數(shù)據(jù)。 低危
CNVD-2016-02677
CVE-2016-2109		 OpenSSL ASN.1 BIO內(nèi)存過度分配漏洞 OpenSSL ASN.1 BIO存在內(nèi)存過度分配漏洞。攻擊者利用漏洞使用BIO的函數(shù)讀取ASN.1中的數(shù)據(jù)時(shí),簡(jiǎn)短無效的字符編碼也引起大量?jī)?nèi)存分配,耗盡內(nèi)存資源。 低危
CNVD-2016-02678
CVE-2016-2106		 OpenSSL EVP_EncodeUpdate溢出漏洞(CNVD-2016-02678) OpenSSL EVP_EncodeUpdate()存在溢出漏洞。攻擊者利用漏洞可輸入大量數(shù)據(jù),導(dǎo)致長(zhǎng)度檢查時(shí)發(fā)生堆破壞溢出。 中危
CNVD-2016-02679
CVE-2016-2105		 OpenSSL EVP_EncodeUpdate溢出漏洞 OpenSSL EVP_EncodeUpdate()存在溢出漏洞。攻擊者利用漏洞可輸入大量數(shù)據(jù),導(dǎo)致長(zhǎng)度檢查時(shí)發(fā)生堆破壞溢出。 中危
CNVD-2016-02680
CVE-2016-2107		 OpenSSL密文填塞漏洞 “密文填塞”(Padding Oracle)漏洞允許中間人攻擊者在服務(wù)器支持AES-NI的情況下利用AES-CBC加擾機(jī)制對(duì)數(shù)據(jù)進(jìn)行解密。攻擊者能夠在數(shù)小時(shí)內(nèi)向加密信息內(nèi)填充明文并根據(jù)服務(wù)器響應(yīng)情況執(zhí)行中間人攻擊,進(jìn)而竊取到HTTPS上經(jīng)過加密的登錄密碼。 高危
CNVD-2016-02681
CVE-2016-2108		 OpenSSL ASN.1 encoder內(nèi)存破壞漏洞 內(nèi)存錯(cuò)誤漏洞出現(xiàn)在OpenSSL所使用的ASN.1編碼器中,由兩個(gè)低風(fēng)險(xiǎn)的漏洞所構(gòu)成,但彼此牽動(dòng)便會(huì)造成嚴(yán)重的后果,可允許攻擊者執(zhí)行任意代碼。若用戶將0表示為負(fù)值,則會(huì)觸發(fā)緩沖區(qū)溢出并造成越界寫入,但這種情況在ASN.1解析器中極為罕見,因此并不會(huì)造成嚴(yán)重后果,但是ANS.1解析器亦可能將大量通用標(biāo)記誤解為“-0”。兩項(xiàng)問題的漏洞可能導(dǎo)致程序崩潰或者引發(fā)潛在的遠(yuǎn)程惡意代碼執(zhí)行。 高危

二、漏洞影響范圍

漏洞影響OpenSSL 1.0.2,1.0.1版本。由于OpenSSL廣泛應(yīng)用于一些大型互聯(lián)網(wǎng)企業(yè)的網(wǎng)站、VPN、郵件、即時(shí)聊天等類型的服務(wù)器上,因此對(duì)服務(wù)提供商以及用戶造成的威脅范圍較大,影響較為嚴(yán)重。大多數(shù)通過SSL/TLS協(xié)議加密的網(wǎng)站都使用了OpenSSL的開源軟件包,因此漏洞影響會(huì)涉及到所有使用OpenSSL開源包的應(yīng)用。

三、漏洞修復(fù)建議

目前,廠商已發(fā)布安全公告修復(fù)上述漏洞。CNVD建議相關(guān)用戶關(guān)注廠商主頁更新,及時(shí)下載最新版本,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。https://www.openssl.org/source/?

附:參考鏈接:

https://www.openssl.org/news/vulnerabilities.html

https://www.openssl.org/news/secadv/20160503.txt

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02676

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02677

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02678

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02679

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02680

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02681