近期沒更新OpenSSL協議的用戶需要注意了,本周一OpenSSL緊急釋出兩個更新補丁,來修補OCSP漏洞。不過更新程序卻會衍生出兩個新漏洞,而且其中的CVE-2016-6309漏洞之一屬于重大漏洞,可能導緻不法黑客執行任意程序。
補丁升級導緻新漏洞 OpenSSL還需再更新
據悉,這兩個漏洞分别影響OpenSSL的1.1.0a和1.0.2i版本。OpenSSL指出,1.1.0a為了解決CVE-2016-6307的問題帶來了新漏洞,但如果所接收的信息大于16kb,用來儲存進入信息的緩沖區就會重置并移動。不過,舊區域仍然企圖于釋出空間寫入,因此,很可能會引發宕機并允許執行任意程序。所以,相應用戶應盡快更新1.1.0b修補CVE-2016-6309漏洞。
另一個CVE-2016-6307隻是一個低風險漏洞,最多隻會導緻服務器宕機,但相關修補程序卻帶來了可造成惡意攻擊的CVE-2016-6309重大漏洞。
至于1.0.2i的問題則是來自于該版本忘了加入憑證撤銷列表(Certificate Revocation List,CRL)完整性檢查,因此在1.0.2i中使用CRL時就會出現空指标異常并當掉,此一漏洞編号為CVE-2016-7052,用戶可升級至1.0.2j進行修補。
作者:中關村在線 鄭偉
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
