OpenSSL再爆多处高危漏洞
OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/
受影响的版本包括:
OpenSSL 1.0.1 through 1.0.1g
OpenSSL 1.0.0 through 1.0.0l
all versions before OpenSSL 0.9.8y
未影响版本:
OpenSSL 1.0.1h
OpenSSL 1.0.0m
OpenSSL 0.9.8za
相关漏洞详情:
http://www.openssl.org/news/secadv_20140605.txt
其中一个漏洞CVE-2014-0195将导致任意代码执行,该漏洞影响DTLS客户端或服务端
CVE-2014-0224:中间人欺骗(MITM)漏洞,影响客户端(全版本)和服务端(1.0.1 and 1.0.2-beta1)
建议:
OpenSSL 0.9.8 SSL/TLS users (client and/or server) 请更新到 0.9.8za.
OpenSSL 1.0.0 SSL/TLS users (client and/or server) 请更新到 1.0.0m.
OpenSSL 1.0.1 SSL/TLS users (client and/or server) 请更新到 1.0.1h.
CVE-2014-0221:拒绝服务漏洞,攻击者可通过发送一个恶意的DTLS握手包,导致拒绝服务
建议:
OpenSSL 0.9.8 DTLS用户请更新到0.9.8za
OpenSSL 1.0.0 DTLS用户请更新到1.0.0m.
OpenSSL 1.0.1 DTLS用户请更新到1.0.1h.
CVE-2014-0195:任意代码执行漏洞,攻击者可发送一个恶意的DTLS fragmetns到OpenSSL DTLS客户端或服务端,将能够在存在漏洞的客户端或服务端引起任意代码执行
建议:
OpenSSL 0.9.8 DTLS 用户请更新到 0.9.8za
OpenSSL 1.0.0 DTLS 用户请更新到 1.0.0m.
OpenSSL 1.0.1 DTLS 用户请更新到 1.0.1h.
CVE-2014-0198:拒绝服务漏洞,do_ssl3_write()函数允许远程用户通过一个空指针引用,这个漏洞仅仅影响OpenSSL 1.0.0和1.0.1当SSL_MODE_RELEASE_BUFFERS开启的环境(非默认选项)
建议:
OpenSSL 1.0.0 用户请更新到 1.0.0m.
OpenSSL 1.0.1 用户请更新到 1.0.1h.
CVE-2010-5298:会话注入&拒绝服务漏洞,攻击者利用ssl3_read_bytes 函数的竞争机制可以在会话之间注入数据或者使服务端拒绝服务。
此漏洞仅影响使用OpenSSL1.0.0多线程应用程序
和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被启用(不常见,并非默认设置)
CVE-2014-3470:拒绝服务漏洞,当OpenSSL TLS客户端启用匿名ECDH密码套件可能导致拒绝服务攻击。
建议:
OpenSSL 0.9.8 用户请更新到 0.9.8za
OpenSSL 1.0.0 用户请更新到 1.0.0m.
OpenSSL 1.0.1 用户请更新到 1.0.1h.
OpenSSL再爆多处高危漏洞的更多相关文章
- Struts2再爆远程代码执行漏洞
Struts又爆远程代码执行漏洞!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码.Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction ...
- openssl 再爆惊天漏洞及紧急修复指南
openssl 又摊上大事了,2014年6月5日,SSL/TLS Man-in-the-Middle Vulnerability 该漏洞使得攻击者能够拦截恶意中间节点加密和解密数据.同一时候强迫使用弱 ...
- Struts2再爆远程命令执行漏洞![W3bSafe]Struts2-048 Poc Shell及防御修复方案抢先看!
漏洞概述 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架.在Struts 2.3.x 系列的 Show ...
- OpenSSL再曝CCS注入漏洞-心伤未愈又成筛子
太戏剧了,昨晚看了佳片有约,还不错,2012版的<完美回顾>,像我这样的人依旧选择用电视或者去影院看电影,在没有中间插播广告的时候,体验憋尿得过程中,总是能突然有非常多的想法,这是用电脑或 ...
- 转载(原标题:网站再遭新威胁 Struts2又曝高危漏洞啦)
自从著名J2EE框架Apache Struts2被曝出可被远程攻击者利用的执行漏洞后,关于Struts2的安全性便广受关注.近日,安全研究人员则再次发现了Struts2存在远程代码执行的漏洞,Stru ...
- 升级OpenSSL修复高危漏洞Heartbleed
升级OpenSSL修复高危漏洞Heartbleed 背景: OpenSSL全称为Secure Socket Layer.是Netscape所研发.利用数据加密(Encryption) ...
- 您的应用静态链接到的 OpenSSL 版本有多个安全漏洞。建议您尽快更新 OpenSSL
安全提醒 您的应用静态链接到的 OpenSSL 版本有多个安全漏洞.建议您尽快更新 OpenSSL. 在开头为 1.0.1h.1.0.0m和 0.9.8za的 OpenSSL 版本中这些漏洞已得到修复 ...
- 【更新WordPress 4.6漏洞利用PoC】PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)
[2017.5.4更新] 昨天曝出了两个比较热门的漏洞,一个是CVE-2016-10033,另一个则为CVE-2017-8295.从描述来看,前者是WordPress Core 4.6一个未经授权的R ...
- Apache Struts2高危漏洞(S2-057CVE-2018-11776)
花了两天时间,特此记录 一:背景: 2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞. 二:漏洞产生原理: 1.需要知道对应跳 ...
随机推荐
- ffmpeg 从视频流中抓取图片
从视频中不断抓取图片的基本流程:打开视频流地址->获取视频流packt->解码成图片帧->输出图片 一.初始化Ffmpeg void ffmpegInit(){ av_registe ...
- Swift Json 解析错误
昨天在开发公司的ios程序时,遇见一个json解析的问题,并且是一个非常奇怪的问题. 因为原来的代码比较复杂,所以对代码进行了一些简化,具体代码如下: 服务器返回格式(PHP): array( arr ...
- 1452: [JSOI2009]Count - BZOJ
Description Input Output Sample Input Sample Output 1 2HINT 一开始还想什么离线做,其实不用,空间足够,我们直接开100个二维树状数组,然后就 ...
- [转]谈谈C++中的swap函数
1,最通用的模板交换函数模式:创建临时对象,调用对象的赋值操作符. template <class T> void swap ( T& a, T& b ) { T c(a) ...
- log4j安装与简介
问题描述: 在应用程序中添加日志记录总的来说基于三个目的: (1) 监视代码中变量的变化情况,周期性的记录到文件中供其他应用进行统计分析工作: (2) 跟踪代码运行时轨迹,作为日 ...
- 奇异值分解(We Recommend a Singular Value Decomposition)
奇异值分解(We Recommend a Singular Value Decomposition) 原文作者:David Austin原文链接: http://www.ams.org/samplin ...
- uva 10313
递推 参考了别人的解法 dp[i][j] 表示价值为i用j个硬币可以有多少种方法 dp[j][k] += dp[j-i][k-1] 意思是多加一枚价值为i的硬币,加上价值为j-i用k-1个硬币的总 ...
- SVN库实时同步设置
为了安全起见,SVN服务器除了做定时全量备份和增量备份以外,如条件允许,可做实时备份. 这需要2台机器,一台是master server,另一台做mirror server.master做主服务,mi ...
- C# 中使用JSON - DataContractJsonSerializer
C#中使用JSON不需要使用第三方库,使用.NET Framwork3.5自带的System.Runtime.Serialization.Json即可很好的完成JSON的解析. 关于JSON的入门介绍 ...
- LightOj 1096 - nth Term (矩阵快速幂,简单)
题目 这道题是很简单的矩阵快速幂,可惜,在队内比赛时我不知什么时候抽风把模版中二分时判断的 ==1改成了==0 ,明明觉得自己想得没错,却一直过不了案例,唉,苦逼的比赛状态真让人抓狂!!! #incl ...