OpenSSL再爆多处高危漏洞
OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/
受影响的版本包括:
OpenSSL 1.0.1 through 1.0.1g
OpenSSL 1.0.0 through 1.0.0l
all versions before OpenSSL 0.9.8y
未影响版本:
OpenSSL 1.0.1h
OpenSSL 1.0.0m
OpenSSL 0.9.8za
相关漏洞详情:
http://www.openssl.org/news/secadv_20140605.txt
其中一个漏洞CVE-2014-0195将导致任意代码执行,该漏洞影响DTLS客户端或服务端
CVE-2014-0224:中间人欺骗(MITM)漏洞,影响客户端(全版本)和服务端(1.0.1 and 1.0.2-beta1)
建议:
OpenSSL 0.9.8 SSL/TLS users (client and/or server) 请更新到 0.9.8za.
OpenSSL 1.0.0 SSL/TLS users (client and/or server) 请更新到 1.0.0m.
OpenSSL 1.0.1 SSL/TLS users (client and/or server) 请更新到 1.0.1h.
CVE-2014-0221:拒绝服务漏洞,攻击者可通过发送一个恶意的DTLS握手包,导致拒绝服务
建议:
OpenSSL 0.9.8 DTLS用户请更新到0.9.8za
OpenSSL 1.0.0 DTLS用户请更新到1.0.0m.
OpenSSL 1.0.1 DTLS用户请更新到1.0.1h.
CVE-2014-0195:任意代码执行漏洞,攻击者可发送一个恶意的DTLS fragmetns到OpenSSL DTLS客户端或服务端,将能够在存在漏洞的客户端或服务端引起任意代码执行
建议:
OpenSSL 0.9.8 DTLS 用户请更新到 0.9.8za
OpenSSL 1.0.0 DTLS 用户请更新到 1.0.0m.
OpenSSL 1.0.1 DTLS 用户请更新到 1.0.1h.
CVE-2014-0198:拒绝服务漏洞,do_ssl3_write()函数允许远程用户通过一个空指针引用,这个漏洞仅仅影响OpenSSL 1.0.0和1.0.1当SSL_MODE_RELEASE_BUFFERS开启的环境(非默认选项)
建议:
OpenSSL 1.0.0 用户请更新到 1.0.0m.
OpenSSL 1.0.1 用户请更新到 1.0.1h.
CVE-2010-5298:会话注入&拒绝服务漏洞,攻击者利用ssl3_read_bytes 函数的竞争机制可以在会话之间注入数据或者使服务端拒绝服务。
此漏洞仅影响使用OpenSSL1.0.0多线程应用程序
和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被启用(不常见,并非默认设置)
CVE-2014-3470:拒绝服务漏洞,当OpenSSL TLS客户端启用匿名ECDH密码套件可能导致拒绝服务攻击。
建议:
OpenSSL 0.9.8 用户请更新到 0.9.8za
OpenSSL 1.0.0 用户请更新到 1.0.0m.
OpenSSL 1.0.1 用户请更新到 1.0.1h.
OpenSSL再爆多处高危漏洞的更多相关文章
- Struts2再爆远程代码执行漏洞
Struts又爆远程代码执行漏洞!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码.Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction ...
- openssl 再爆惊天漏洞及紧急修复指南
openssl 又摊上大事了,2014年6月5日,SSL/TLS Man-in-the-Middle Vulnerability 该漏洞使得攻击者能够拦截恶意中间节点加密和解密数据.同一时候强迫使用弱 ...
- Struts2再爆远程命令执行漏洞![W3bSafe]Struts2-048 Poc Shell及防御修复方案抢先看!
漏洞概述 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架.在Struts 2.3.x 系列的 Show ...
- OpenSSL再曝CCS注入漏洞-心伤未愈又成筛子
太戏剧了,昨晚看了佳片有约,还不错,2012版的<完美回顾>,像我这样的人依旧选择用电视或者去影院看电影,在没有中间插播广告的时候,体验憋尿得过程中,总是能突然有非常多的想法,这是用电脑或 ...
- 转载(原标题:网站再遭新威胁 Struts2又曝高危漏洞啦)
自从著名J2EE框架Apache Struts2被曝出可被远程攻击者利用的执行漏洞后,关于Struts2的安全性便广受关注.近日,安全研究人员则再次发现了Struts2存在远程代码执行的漏洞,Stru ...
- 升级OpenSSL修复高危漏洞Heartbleed
升级OpenSSL修复高危漏洞Heartbleed 背景: OpenSSL全称为Secure Socket Layer.是Netscape所研发.利用数据加密(Encryption) ...
- 您的应用静态链接到的 OpenSSL 版本有多个安全漏洞。建议您尽快更新 OpenSSL
安全提醒 您的应用静态链接到的 OpenSSL 版本有多个安全漏洞.建议您尽快更新 OpenSSL. 在开头为 1.0.1h.1.0.0m和 0.9.8za的 OpenSSL 版本中这些漏洞已得到修复 ...
- 【更新WordPress 4.6漏洞利用PoC】PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)
[2017.5.4更新] 昨天曝出了两个比较热门的漏洞,一个是CVE-2016-10033,另一个则为CVE-2017-8295.从描述来看,前者是WordPress Core 4.6一个未经授权的R ...
- Apache Struts2高危漏洞(S2-057CVE-2018-11776)
花了两天时间,特此记录 一:背景: 2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞. 二:漏洞产生原理: 1.需要知道对应跳 ...
随机推荐
- Winform控件学习-TreeView
转自 http://www.cnblogs.com/zxlovenet/p/3589425.html 作者: 初行 TreeView控件用来显示信息的分级视图,如同Windows里的资源管理 ...
- 【转载】hadoop的版本问题
免责声明: 本文转自网络文章,转载此文章仅为个人收藏,分享知识,如有侵权,请联系博主进行删除. 原文作者:阿笨猫 原文地址:http://www.cnblogs.com/xu ...
- c#中获取服务器IP,客户端IP以及其它
客户端ip:Request.ServerVariables.Get("Remote_Addr").ToString();客户端主机名:Request.ServerVariables ...
- 【转】KM匹配题集
转自:http://blog.csdn.net/shahdza/article/details/7779324 [HDU]2255 奔小康赚大钱 模板题★1533 Going Home 模板题★242 ...
- Tutorial Unity 4 apk splitting into OBB for google play
http://docs.unity3d.com/Manual/android-OBBsupport.html http://www.exoa.fr/tutorial-unity-4-apk-split ...
- vsftp在REDHAT,CENTOS 5中登录慢的解决办法
vsftp在REDHAT,CENTOS 5中登录慢的解决办法 vsftp在REDHAT,CENTOS 5中不仅登录慢,至少花30秒左右,而且上传文件的速度也受影响, 经过摸索,根本原因在DNS解析上花 ...
- Appium环境配置
一.JDK下载.安装及其环境配置 1.下载.安装略过…… 2.环境配置,以jdk-8u45为例,默认安装在 C:\Program Files\Java\jdk1.8.0_45\路径下. 下面设置环境变 ...
- ccflow学习下载网址
1.ccflow下载:http://ccflow.org/download.aspx 2.说明:http://ccbpm.mydoc.io/ 3.各种文档:bbs.ccflow.org/showtop ...
- 使用apt-fast 来加速你的Ubuntu 的apt
使用apt-fast 来加速你的Ubuntu 的apt sudo add-apt-repository ppa:apt-fast/stable sudo apt-get update sudo apt ...
- Arc Engiene读取文档的属性
设计界面 创建类 代码如下 using System; using System.Collections.Generic; using System.Linq; using System.Text; ...