近期沒更新OpenSSL協議的用戶需要注意了,本周一OpenSSL緊急釋出兩個更新補丁,來修補OCSP漏洞。不過更新程序卻會衍生出兩個新漏洞,而且其中的CVE-2016-6309漏洞之一屬于重大漏洞,可能導致不法黑客執行任意程序。
補丁升級導致新漏洞 OpenSSL還需再更新
據悉,這兩個漏洞分別影響OpenSSL的1.1.0a和1.0.2i版本。OpenSSL指出,1.1.0a為了解決CVE-2016-6307的問題帶來了新漏洞,但如果所接收的信息大于16kb,用來儲存進入信息的緩沖區就會重置并移動。不過,舊區域仍然企圖于釋出空間寫入,因此,很可能會引發宕機并允許執行任意程序。所以,相應用戶應盡快更新1.1.0b修補CVE-2016-6309漏洞。
另一個CVE-2016-6307只是一個低風險漏洞,最多只會導致服務器宕機,但相關修補程序卻帶來了可造成惡意攻擊的CVE-2016-6309重大漏洞。
至于1.0.2i的問題則是來自于該版本忘了加入憑證撤銷列表(Certificate Revocation List,CRL)完整性檢查,因此在1.0.2i中使用CRL時就會出現空指標異常并當掉,此一漏洞編號為CVE-2016-7052,用戶可升級至1.0.2j進行修補。
京公網安備 11010502049343號