OpenSSL的项目团队发布的OpenSSL版本1.1.0c,解决在其软件三个安全漏洞。
最严重的是对传输层安全性相关的基于堆的缓冲区溢出漏洞(CVE-2016-7054)(使用* -CHACHA20-POLY1305密码套件TLS)连接。
该漏洞,由谷歌安全团队的Robert Swiecki 9月25日报道,可以通过破坏更大的有效载荷,从而导致了OpenSSL崩溃导致DoS攻击。
这个安全漏洞的严重性被评为“高”,并且不会影响之前的1.1.0版本的OpenSSL。不过,OpenSSL的研究小组报告没有证据表明该漏洞被利用超出了DoS攻击。
OpenSSL的项目还修补一个中度漏洞(CVE-2016-7053),可导致应用程序崩溃。
“解析无效的CMS结构可以用一个空指针引用崩溃的应用程序,这是通过在OpenSSL的1.1.0 ASN.1 CHOICE类型这可能会导致一个NULL值的处理中的错误导致被传递到如果一个结构回调尝试免费某些无效编码的。使用不处理NULL值的回调唯一选择结构的影响。
该漏洞也只会影响OpenSSL的1.1.0。
OpenSSL的1.1.0c更新还修复了一个严重低缺陷(CVE-2016-7055),这是关系到处理输入的长度整除的Broadwell微架构特有的蒙哥马利乘法的程序,但更长比,256位。
这个问题最初不被认为是一个安全问题,但专家已经证实,该漏洞可以通过在非常特殊的情况下,攻击者利用。
此漏洞影响的OpenSSL 1.0.2版本,但由于该缺陷的低严重性,团队做不会发出此时更新。该修补程序将包含在下一版本1.0.2。因此,建议用户等待吧。
所有的用户都强烈建议升级他们的软件OpenSSL的版本1.1.0c。
就像在以前的公告,OpenSSL项目已经提醒其用户,该项目将不再支持OpenSSL的1.0版.1 2016年12月31日之后,这最后期限之后将不会收到安全更新。