示意圖,與新聞事件無關。

圖片來源: 

OpenSSL

OpenSSL本周一(9/26)緊急釋出兩項更新,以修補9月22日的安全更新所帶來的新漏洞,這兩個漏洞分別影響1.1.0a與1.0.2i,其中一個屬於重大漏洞,可能惹來任意程式攻擊。

不論是1.1.0a或1.0.2i都是OpenSSL甫於上周發表的更新程式。OpenSSL說明,1.1. 0a為了解決CVE-2016-6307的問題帶來了新漏洞,若所接收訊息大於16k,用來儲存進入訊息的緩衝區就會重置並移動,然而,舊區域的迷途指標仍然存在,並企圖於釋出空間寫入,很可能會當掉並允許執行任意程式,因而衍生CVE-2016-6309漏洞,故釋出1.1.0b進行修補。

CVE-2016-6307只是一個低風險漏洞,最多只會導致伺服器當掉,但相關修補程式卻帶來了可造成程式攻擊的CVE- 2016-6309重大漏洞。

至於1.0.2i的問題則是來自於該版本忘了加入憑證撤銷列表( Certificate Revocation List,CRL)完整性檢查,因此在1.0.2i中使用CRL時就會出現空指標異常並當掉,此一漏洞編號為CVE-2016-7052,用戶可升級至1.0.2j進行修補。


Advertisement

更多 iThome相關內容