721
OpenSSL 更新 9 個安全問題
06-Aug-2014: Security Advisory: nine security fixes
https://www.openssl.org/news/secadv_20140806.txt
OpenSSL 0.9.8 DTLS users should upgrade to 0.9.8zb
OpenSSL 1.0.0 DTLS users should upgrade to 1.0.0n.
OpenSSL 1.0.1 DTLS users should upgrade to 1.0.1i.
OpenSSL的TLS協議降級攻擊(CVE-2014-3511)
================================================== ===
在OpenSSL的SSL / TLS服務器代碼中的缺陷會導致服務器協商
TLS1.0,而不是更高的協議版本時ClientHello消息是
嚴重的碎片化。這使得人在這方麵的中間人攻擊者無法強製
降級到TLS1.0,即使服務器端和客戶端都支持更高的
協議版本,通過修改該客戶端的TLS記錄。
OpenSSL的1.0.1 SSL / TLS服務器的用戶應該升級到1.0.1i。
SRP的緩衝區溢出(CVE-2014-3512)
一個惡意的客戶端或服務器可以發送無效的SRP參數和溢出
內部緩衝區。隻有那些明確設置了SRP的應用
使用受到影響。
OpenSSL的1.0.1 SSL / TLS的用戶應該升級到1.0.1i。
最後更新:2017-07-05 11:02:14