安恒信息從OpenSSL開源項目官網獲知其針對0.98zd、1.0.0p和1.0.1k版本的修復補丁發布了8個安全漏洞的修復方案。其中最嚴重的漏洞被OpenSSL項目組歸類為中等安全威脅，這個漏洞可以用來發動拒絕服務攻擊。其余的六個問題被定義為低安全威脅。

前面提到的中等安全威脅的漏洞是通過一個特定的DTLS消息導致空指針在解引用時OpenSSL發生的段錯誤。這個問題影響到所有當前的OpenSSL版本（0.9.8，1.0.0和1.0.1）并且可能導致拒絕服務攻擊。第二個中等威脅漏洞會導致內存泄漏，是由dtls1_buffer_record函數在一定條件下被利用導致的。如果攻擊者發送重復的DTLS記錄包并含相同的序列號這個攻擊就有可能攻擊成功。內存泄漏可以通過拒絕服務攻擊使得內存耗盡這樣的方式來利用。

這些漏洞影響的OpenSSL版本為1.0.1和1.0.0。盡管這些問題沒到達到“心臟出血”漏洞的嚴重程度，管理人員仍應該開始計劃升級他們OpenSSL服務器。

我們仍在研究昨日宣布的這八個問題的影響，最嚴重的漏洞只會導致拒絕服務攻擊，受到影響的服務器會產生段錯誤并且可能導致崩潰（CVE-2014-3571）或者內存耗盡(CVE-2015-0206)，因此為了保持可靠的服務，OpenSSL需要升級或使用不受影響的SSL庫，如LibreSSL。

其他的漏洞包括OpenSSL服務接受客戶端證書沒有進行DH證書驗證消息、允許客戶端驗證沒有私鑰的訪問等，這只影響服務器信任的客戶端證書權威問題。

另一個漏洞是OpenSSL的客戶端在握手時接受使用ECDH加密方式，如果服務器密鑰交換消息沒有使用ECDSA證書，加密方式將會實效。

安恒信息建議為了保障您的網絡信息數據安全，請盡快將您的OpenSSL升級到相應的安全版本：

1.Openssl dtls1_get_record函數拒絕服務（CVE-2014-3571）

OpenSSL的1.0.1 DTLS用戶應該升級到1.0.1k

OpenSSL的1.0.0 DTLS用戶應該升級到1.0.0p

OpenSSL的0.9.8 DTLS用戶應該升級到0.9.8zd

2.Openssl DTLS內存泄漏漏洞（CVE-2015-0206）

OpenSSL的1.0.1 DTLS用戶應該升級到1.0.1k

OpenSSL的1.0.0 DTLS用戶應該升級到1.0.0p

3.No-SSL3配置集方法空指針（CVE-2014-3569）

OpenSSL的1.0.1的用戶應該升級到1.0.1k

OpenSSL的1.0.0的用戶應該升級到1.0.0p

OpenSSL的0.9.8的用戶應該升級到0.9.8zd

4.ECDHE客戶端協商降級ECDH （CVE-2014-3572）

OpenSSL的1.0.1的用戶應該升級到1.0.1k

OpenSSL的1.0.0的用戶應該升級到1.0.0p

OpenSSL的0.9.8的用戶應該升級到0.9.8zd

5.RSA客戶端協商降級EXPORT_RSA（CVE-2015-0204）

OpenSSL的1.0.1的用戶應該升級到1.0.1k

OpenSSL的1.0.0的用戶應該升級到1.0.0p

OpenSSL的0.9.8的用戶應該升級到0.9.8zd

6.服務器驗證客戶DH信息不全（CVE-2015-0205）

OpenSSL的1.0.1的用戶應該升級到1.0.1k

OpenSSL的1.0.0的用戶應該升級到1.0.0p

7.證書指紋可以被修改（CVE-2014-8275）

OpenSSL的1.0.1的用戶應該升級到1.0.1k

OpenSSL的1.0.0的用戶應該升級到1.0.0p

OpenSSL的0.9.8的用戶應該升級到0.9.8zd

8.BIGNUM平方可能會產生不正確的結果（CVE-2014-3570）

OpenSSL的1.0.1的用戶應該升級到1.0.1k

OpenSSL的1.0.0的用戶應該升級到1.0.0p

OpenSSL的0.9.8的用戶應該升級到0.9.8zd