OpenSSL發布了針對“高”嚴重性漏洞的修補程序
最嚴重的是一個基于堆的緩沖區溢出漏洞(CVE-2016-7054),該漏洞與使用*-CHACHA20-POLY1305密碼套件的傳輸層安全(TLS)連接有關。
谷歌安全團隊的Robert?wi?cki在9月25日報告了該漏洞,該漏洞會破壞更大的有效負載,導致OpenSSL崩潰,從而導致DoS攻擊。
該漏洞的嚴重性被評定為“高”,不影響1.1.0之前的OpenSSL版本。然而,OpenSSL團隊報告稱,沒有證據表明該漏洞可以在DoS攻擊之外被利用。
OpenSSL項目還修補了一個可能導致應用程序崩潰的中等嚴重性缺陷(CVE-2016-7053)。
“解析無效CMS結構的應用程序可能會因空指針取消引用而崩潰。這是由OpenSSL 1.1.0中處理ASN.1選擇類型的錯誤造成的,如果試圖釋放某些無效編碼,可能會導致將空值傳遞給結構回調。只有使用回調的選擇結構不會ot句柄空值會受到影響,”該團隊解釋道。
The vulnerability also only affects OpenSSL 1.1.0.
OpenSSL 1.1.0c更新還修復了一個低嚴重性缺陷(CVE-2016-7055),這與Broadwell特定的蒙哥馬利乘法程序有關,該程序處理可被256位整除但長度大于256位的輸入長度。
該問題最初不被視為安全問題,但專家已經證明,攻擊者可以在非常特定的情況下利用該漏洞。
該漏洞會影響OpenSSL 1.0.2版,但由于該漏洞的嚴重性較低,團隊目前沒有發布更新。該修復程序將包含在下一個1.0.2版本中。因此,建議用戶等待。
強烈建議所有用戶將其軟件升級到OpenSSL版本1.1.0c。
與之前的公告一樣,OpenSSL項目已提醒其用戶,該項目將在2016年12月31日后不再支持OpenSSL 1.0.1版,并且在該截止日期后將不會收到任何安全更新。
