描述:
OpenSSL程序库存在多个漏洞。远程攻击者可以攻击内存泄漏问题或利用空指标解除(NULL pointer dereference)问题来进行阻断服务攻击。
受影响的系统:
- OpenSSL 0.9.8zg, 1.0.0s, 1.0.1p, 1.0.2d 和之前的版本
- 操作系统、网页服务器、虚拟私人网络网关或采用受影响的OpenSSL链接库的装置
影响:
成功利用这些漏洞可以导致阻断服务。
建议:
有关漏洞已在OpenSSL 0.9.8zh, 1.0.0t, 1.0.1q 和1.0.2e版本中修复。采用OpenSSL以加密网络通讯的系统,例如受HTTPS保护的网站或SSL-VPN网关的用户须留意有关漏洞及采取必要措施。用户应联络产品供货商以确认是否受有关问题影响。
OpenSSL Software Foundation已公布将于2015年12月31日后停止支持OpenSSL 0.9.8及1.0.0,不会再提供相关保安更新。用户应考虑升级至1.0.1或1.0.2的最新版本、或联络其产品供货商以取得支持。
进一步信息:
https://www.openssl.org/news/secadv/20151203.txt
https://www.us-cert.gov/ncas/current-activity/2015/12/03/OpenSSL-Patches-Multiple-Vulnerabilities
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3193 (至CVE-2015-3196)
