CVE-2014-0198:拒绝服务漏洞,do_ssl3_write()函数允许远程用户通过一个空指针引用,这个漏洞仅仅影响OpenSSL 1.0.0和1.0.1当SSL_MODE_RELEASE_BUFFERS开启的环境(非默认选项)。
建议:
OpenSSL 1.0.0 用户请更新到 1.0.0m.
OpenSSL 1.0.1 用户请更新到 1.0.1h.
CVE-2010-5298:会话注入&拒绝服务漏洞,攻击者利用ssl3_read_bytes 函数的竞争机制可以在会话之间注入数据或者使服务端拒绝服务。
此漏洞仅影响使用OpenSSL1.0.0多线程应用程序和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被启用(不常见,并非默认设置)。
CVE-2014-3470:拒绝服务漏洞,当OpenSSL TLS客户端启用匿名ECDH密码套件可能导致拒绝服务攻击。
建议:
OpenSSL 0.9.8 用户请更新到 0.9.8za
OpenSSL 1.0.0 用户请更新到 1.0.0m.
OpenSSL 1.0.1 用户请更新到 1.0.1h.
CVE-2014-0076:OpenSSL ECDSA 加密问题漏洞,OpenSSL 1.0.0l及之前版本中的Montgomery ladder实现过程中存在安全漏洞,该漏洞源于Elliptic Curve Digital Signature Algorithm (ECDSA)中存在错误。远程攻击者可通过FLUSH+RELOAD Cache旁道攻击利用该漏洞获取ECDSA随机数值。
建议:
OpenSSL 1.0.0m and OpenSSL 0.9.8za 用户请更新到 OpenSSL 1.0.1g.
|