OpenSSL更新:修复严重安全漏洞

2014/08/15

OpenSSL,SSL协议的开放源码实现,已经发布了更新补丁修补9个问题,包括几个严重安全漏洞。

这包括了拒绝服务攻击而引起的问题。DOS攻击会造成服务器有大量的信息,消耗大量的内存或泄露信息。

已解决的严重问题

该补丁解决以下严重安全漏洞:

》防止攻击者降低连接安全性级别,比TLS1.0安全性低

》防止攻击者强迫错误条件。这会因内存被释放两次需要处理DTSL包的关系而导致OpenSSL崩溃。

》在多线程客户被连接发送EC点格式扩展名和用上255个字节来释放内存时,防止恶意服务器继续会话。

自今年的四月爆发了这个Heartbleed错误后,Open SSL已经受到严密审查。因为这个错误在一个未加密的格式中可以被利用来绕开SSL捕捉浏览器和服务器之前的通信。OpenSSL被将近20%的服务器使用,但该项目只由10名全职的员工维护。他们主要是依靠开发人员社区的贡献和捐赠。对于这次的Heartbleed错误,许多知名度很高的公司纷纷提供支持。

可用更新:

以下是可用的更新:

》OpenSSL 0.9.8 用户应该升级到0.9.8zb

》OpenSSL 1.0.0用户应该升级到 1.0.0n

》OpenSSL 1.0.1用户应该升级到1.0.1i

Tags:

Write a comment

Name
Comment