OpenSSL緊急修補上周更新所衍生的新漏洞

william77

OpenSSL上周釋出更新，以修補OCSP漏洞，不過更新程式卻衍出兩項新漏洞，其中的CVE-2016-6309漏洞之一屬於重大漏洞，可能導致駭客執行任意程式。

OpenSSL本周一（9/26）緊急釋出兩項更新，以修補9月22日的安全更新所帶來的新漏洞，這兩個漏洞分別影響1.1.0a與1.0.2i，其中一個屬於重大漏洞，可能惹來任意程式攻擊。
不論是1.1.0a或1.0.2i都是OpenSSL甫於上周發表的更新程式。OpenSSL說明，1.1. 0a為了解決CVE-2016-6307的問題帶來了新漏洞，若所接收訊息大於16k，用來儲存進入訊息的緩衝區就會重置並移動，然而，舊區域的迷途指標仍然存在，並企圖於釋出空間寫入，很可能會當掉並允許執行任意程式，因而衍生CVE-2016-6309漏洞，故釋出1.1.0b進行修補。
CVE-2016-6307只是一個低風險漏洞，最多只會導致伺服器當掉，但相關修補程式卻帶來了可造成程式攻擊的CVE- 2016-6309重大漏洞。
至於1.0.2i的問題則是來自於該版本忘了加入憑證撤銷列表（ Certificate Revocation List，CRL）完整性檢查，因此在1.0.2i中使用CRL時就會出現空指標異常並當掉，此一漏洞編號為CVE-2016-7052，用戶可升級至1.0.2j進行修補。