OpenSSL 发布多个更新版本,修复 DoS 漏洞

oschina
 oschina
发布于 2015年03月20日
收藏 3

OpenSSL 发布了更新版本 —— 1.0.2a, 1.0.1m, 1.0.0r 和 0.9.8zf ,这些版本主要是定位 12 个缺陷,但并非所有 OpenSSL 版本都受这些问题影响。

这 12 个漏洞中最严重的是 CVE-2015-0291 ,该漏洞可导致 DoS 拒绝服务攻击,这个漏洞只影响 OpenSSL 1.0.2 分支。

如果客户端连接到一个使用 OpenSSL 1.0.2 的服务器上,并使用无效的签名算法扩展进行再次协商,那么将会触发一个删除空指针的问题,详情请看 OpenSSL 项目的 安全建议

OpenSSL 项目成员 Mark Cox 在其博客解释到:攻击者可以利用这个漏洞来进行拒绝服务攻击。不过存在该漏洞的目标数量有限,因为 OpenSSL 1.0.2 刚发布一个月,很多服务器并没有使用这个版本。

OpenSSL 同时维护了多个不同的主要版本,OpenSSL 1.0.1 的用户如果不需要一些新特性的话,无需升级到 1.0.2 版本,因为 1.0.1 版本也在继续维护中。

Source: pcadvisor

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:OpenSSL 发布多个更新版本,修复 DoS 漏洞
加载中

最新评论(10

d
dldn

引用来自“景晨”的评论

centos yum check-update 没显示要更新啊
升级到 1.0.1e-30.el6_6.7
超级大富
超级大富
吼吼,1.0.1
开源中国首席颈椎砖家
开源中国首席颈椎砖家
centos yum check-update 没显示要更新啊
人类缺陷
人类缺陷
这玩意谁用啊
松鼠M
松鼠M

引用来自“红薯”的评论

擦,春节期间调整 OSC 服务器的配置和升级证书时顺手把 OpenSSL 升级到 1.0.2 版本,结果中招了。
刚刚把 OpenSSL 升级到 1.0.2a 了!
还好我偷懒没升级……
Feng_Yu
Feng_Yu
就说怎么apt-get dist-upgrade有openssl,原来有BUG修复了
Chet_W
Chet_W
ca! 我ddwrt用的就是1.0.2,上周刚刷!
Raymin
Raymin
LibreSSL 来了,OpenSSL 洗洗睡吧!
wfifi
wfifi
察,为啥有那么多小版本维护
红薯
红薯
擦,春节期间调整 OSC 服务器的配置和升级证书时顺手把 OpenSSL 升级到 1.0.2 版本,结果中招了。
刚刚把 OpenSSL 升级到 1.0.2a 了!
返回顶部
顶部