OpenSSL修補高風險的DoS漏洞

jis2577

OpenSSL上周釋出OpenSSL 1.1.0C，共修補三項漏洞，其中CVE-2016-7054為高風險的DoS漏洞，存在於採用CHACHA20-POLY1305密碼套件的TLS傳輸，屬堆積緩衝區溢位漏洞，可癱瘓伺服器。

OpenSSL上周釋出OpenSSL 1.1.0c，修補了3個安全漏洞，其中一個屬於高風險的阻斷服務（DoS）漏洞，可藉以癱瘓OpenSSL。
此一編號為CVE-2016-7054的安全漏洞存在於採用CHACHA20-POLY1305密碼套件的TLS傳輸，屬於堆積緩衝區溢位漏洞，攻擊該漏洞唯一可能發生的事是癱瘓伺服器端，有鑑於近來全球DoS攻擊正在升溫，資安專家建議用戶儘速更新。
其他兩個漏洞則分別是中度風險的CVE-2016-7053與低度風險的CVE-2016-7055，前者為CMS解除參照Null的漏洞，可能導致解析無效CMS架構的應用程式當掉，後者是Montgomery乘法進位傳播臭蟲，可能產生錯誤的計算結果。
OpenSSL亦提醒，將於今年12月31日終止對OpenSSL version 1.0.1的支援，之後將不會再釋出安全更新，奉勸用戶展開升級。

panups

  

电子宅

锤子资助了openssl

robinfit

好