近期没更新OpenSSL协议的用户需要注意了,本周一OpenSSL紧急释出两个更新补丁,来修补OCSP漏洞。不过更新程序却会衍生出两个新漏洞,而且其中的CVE-2016-6309漏洞之一属于重大漏洞,可能导致不法黑客执行任意程序。
补丁升级导致新漏洞 OpenSSL还需再更新
据悉,这两个漏洞分别影响OpenSSL的1.1.0a和1.0.2i版本。OpenSSL指出,1.1.0a为了解决CVE-2016-6307的问题带来了新漏洞,但如果所接收的信息大于16kb,用来储存进入信息的缓冲区就会重置并移动。不过,旧区域仍然企图于释出空间写入,因此,很可能会引发宕机并允许执行任意程序。所以,相应用户应尽快更新1.1.0b修补CVE-2016-6309漏洞。
另一个CVE-2016-6307只是一个低风险漏洞,最多只会导致服务器宕机,但相关修补程序却带来了可造成恶意攻击的CVE-2016-6309重大漏洞。
至于1.0.2i的问题则是来自于该版本忘了加入凭证撤销列表(Certificate Revocation List,CRL)完整性检查,因此在1.0.2i中使用CRL时就会出现空指标异常并当掉,此一漏洞编号为CVE-2016-7052,用户可升级至1.0.2j进行修补。
本文转自d1net(转载)
