天天夜碰日日摸日日澡性色AV ,日韩欧美在线综合网,中国成熟妇女毛茸茸,bbw丰满大肥奶肥婆

關(guān)于OpenSSL修復多個安全漏洞的情況公告

2016-05-06 19:16:01

安全公告編號:CNTA-2016-0019

近日,OpenSSL發(fā)布了安全公告,共含6項更新。其中2項更新的綜合評級為“高危”。國家信息安全漏洞共享平臺(CNVD)收錄了對應的漏洞,遠程攻擊者利用上述漏洞可導致程序崩潰,執(zhí)行任意代碼。

一、漏洞情況分析

OpenSSL是一個實現(xiàn)安全套接層和安全傳輸層協(xié)議的通用開源加密庫,可支持多種加密算法,包括對稱密碼、哈希算法、安全散列算法等。近期官方發(fā)布安全公告,修復如下列表漏洞:

漏洞編號 漏洞標題 描述 評級
CNVD-2016-02676
CVE-2016-2176		 OpenSSL EBCDIC越界讀漏洞 OpenSSL EBCDIC存在越界讀漏洞。當程序使用EBCDIC系統(tǒng)X509_NAME_oneline()函數(shù),ASN1字符串超過1024字節(jié)可導致越界讀,進而可導致在緩沖區(qū)返回任意堆棧的數(shù)據(jù)。 低危
CNVD-2016-02677
CVE-2016-2109		 OpenSSL ASN.1 BIO內(nèi)存過度分配漏洞 OpenSSL ASN.1 BIO存在內(nèi)存過度分配漏洞。攻擊者利用漏洞使用BIO的函數(shù)讀取ASN.1中的數(shù)據(jù)時,簡短無效的字符編碼也引起大量內(nèi)存分配,耗盡內(nèi)存資源。 低危
CNVD-2016-02678
CVE-2016-2106		 OpenSSL EVP_EncodeUpdate溢出漏洞(CNVD-2016-02678) OpenSSL EVP_EncodeUpdate()存在溢出漏洞。攻擊者利用漏洞可輸入大量數(shù)據(jù),導致長度檢查時發(fā)生堆破壞溢出。 中危
CNVD-2016-02679
CVE-2016-2105		 OpenSSL EVP_EncodeUpdate溢出漏洞 OpenSSL EVP_EncodeUpdate()存在溢出漏洞。攻擊者利用漏洞可輸入大量數(shù)據(jù),導致長度檢查時發(fā)生堆破壞溢出。 中危
CNVD-2016-02680
CVE-2016-2107		 OpenSSL密文填塞漏洞 “密文填塞”(Padding Oracle)漏洞允許中間人攻擊者在服務器支持AES-NI的情況下利用AES-CBC加擾機制對數(shù)據(jù)進行解密。攻擊者能夠在數(shù)小時內(nèi)向加密信息內(nèi)填充明文并根據(jù)服務器響應情況執(zhí)行中間人攻擊,進而竊取到HTTPS上經(jīng)過加密的登錄密碼。 高危
CNVD-2016-02681
CVE-2016-2108		 OpenSSL ASN.1 encoder內(nèi)存破壞漏洞 內(nèi)存錯誤漏洞出現(xiàn)在OpenSSL所使用的ASN.1編碼器中,由兩個低風險的漏洞所構(gòu)成,但彼此牽動便會造成嚴重的后果,可允許攻擊者執(zhí)行任意代碼。若用戶將0表示為負值,則會觸發(fā)緩沖區(qū)溢出并造成越界寫入,但這種情況在ASN.1解析器中極為罕見,因此并不會造成嚴重后果,但是ANS.1解析器亦可能將大量通用標記誤解為“-0”。兩項問題的漏洞可能導致程序崩潰或者引發(fā)潛在的遠程惡意代碼執(zhí)行。 高危

二、漏洞影響范圍

漏洞影響OpenSSL 1.0.2,1.0.1版本。由于OpenSSL廣泛應用于一些大型互聯(lián)網(wǎng)企業(yè)的網(wǎng)站、VPN、郵件、即時聊天等類型的服務器上,因此對服務提供商以及用戶造成的威脅范圍較大,影響較為嚴重。大多數(shù)通過SSL/TLS協(xié)議加密的網(wǎng)站都使用了OpenSSL的開源軟件包,因此漏洞影響會涉及到所有使用OpenSSL開源包的應用。

三、漏洞修復建議

目前,廠商已發(fā)布安全公告修復上述漏洞。CNVD建議相關(guān)用戶關(guān)注廠商主頁更新,及時下載最新版本,避免引發(fā)漏洞相關(guān)的網(wǎng)絡安全事件。https://www.openssl.org/source/?

附:參考鏈接:

https://www.openssl.org/news/vulnerabilities.html

https://www.openssl.org/news/secadv/20160503.txt

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02676

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02677

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02678

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02679

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02680

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02681