首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第47期->最新漏洞
日期:2004-04-07
发布日期:2004-03-17
更新日期:2004-03-19
受影响系统:
OpenSSL Project OpenSSL 0.9.7c
OpenSSL Project OpenSSL 0.9.7b
OpenSSL Project OpenSSL 0.9.7a
OpenSSL Project OpenSSL 0.9.6l
OpenSSL Project OpenSSL 0.9.6k
OpenSSL Project OpenSSL 0.9.6j
OpenSSL Project OpenSSL 0.9.6i
OpenSSL Project OpenSSL 0.9.6h
OpenSSL Project OpenSSL 0.9.6g
OpenSSL Project OpenSSL 0.9.6e
OpenSSL Project OpenSSL 0.9.6d
OpenSSL Project OpenSSL 0.9.6c
不受影响系统:
OpenSSL Project OpenSSL 0.9.7d
OpenSSL Project OpenSSL 0.9.6m
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CAN-2004-0079
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL在处理SSL/TLS握手实现时存在问题,远程攻击者可以利用这个漏洞使OpenSSL崩溃。
使用Codenomicon TLS测试工具,OpenSSL发现在do_change_cipher_spec()函数中存在一个NULL指针分配。远程攻击者可以构建特殊的SSL/TLS握手,发送给使用OpenSSL库的服务器,可导致OpenSSL崩溃,依赖此库的应用程序会产生拒绝服务。
<*来源:OpenSSL Security Advisory
链接:http://www.openssl.org/news/secadv_20040317.txt
http://www.uniras.gov.uk/vuls/2004/224012/index.htm
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
OpenSSL Project
---------------
升级OpenSSL到0.9.7d或0.9.6m,重新编译任何静态连接OpenSSL库的应用程序。
OpenSSL0.9.7d和0.9.6m可从如下地址获得:
ftp://ftp.openssl.org/source/
文件名为:
o openssl-0.9.7d.tar.gz
MD5 checksum: 1b49e90fc8a75c3a507c0a624529aca5
o openssl-0.9.6m.tar.gz [normal]
MD5 checksum: 1b63bfdca1c37837dddde9f1623498f9
o openssl-engine-0.9.6m.tar.gz [engine]
MD5 checksum: 4c39d2524bd466180f9077f8efddac8c
版权所有,未经许可,不得转载