免费久久99精品国产自在现线,国产麻豆亚洲精品一区二区

安全公告編號:CNTA-2016-0057

近日，國家信息安全漏洞共享平臺（CNVD）收錄了OpenSSL存在多個拒絕服務漏洞（CNVD-2016-11090、CNVD-2016-11095、CNVD-2016-11093，對應CVE-2016-7054、CVE-2016-7053、CVE-2016-7055）。遠程攻擊者利用上述漏洞，可發(fā)起拒絕服務攻擊，導致內存或CPU資源耗盡。

一、漏洞情況分析

OpenSSL是OpenSSL團隊開發(fā)的一個開源的能夠實現(xiàn)安全套接層（SSL v2/v3）和安全傳輸層（TLS v1）協(xié)議的通用加密庫，它支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等。

（一）OpenSSL拒絕服務漏洞（CNVD-2016-11090）

由于TLS鏈接使用的*-CHACHA20-POLY1305密碼組件，通過破壞大量的有效荷載易受到拒絕服務攻擊，可能導致OpenSSL的崩潰。遠程攻擊者利用該漏洞，可造成應用程序拒絕服務，CNVD對該漏洞的綜合評級為“高危”。

（二）OpenSSL空指針廢棄拒絕服務漏洞（CNVD-2016-11095）

程序在試圖釋放某些無效編碼時，錯誤處理OpenSSL 1.1.0中的ASN.1選擇類型，可導致一個NULL值被傳遞給回調結構，當NULL指針解析無效的CMS結構可導致應用程序崩潰。僅使用不處理空值的回調函數(shù)的選擇結構時受到影響。CNVD對該漏洞的綜合評級為“中危”。

（三）OpenSSL拒絕服務漏洞（CNVD-2016-11093）

當Broadwell-specific Montgomery乘法運算程序在處理輸入長度超過256bits數(shù)據時，可導致應用程序崩潰。分析表明，由于存在問題的子程序不使用私鑰本身的操作和攻擊者的直接輸入，攻擊者不能攻擊RSA，DSA和DH密鑰。在EC算法中只有Brainpool P-512 curves受到影響，有可能存在針對ECDH的密鑰協(xié)商攻擊。CNVD對該漏洞的綜合評級依次為“低危”。

二、漏洞影響范圍

上述漏洞影響OpenSSL1.1.0版本。

三、漏洞修復建議

目前，廠商已發(fā)布了漏洞修復程序，用戶可將程序升級至1.1.0c版本。

附：參考鏈接：

https://www.openssl.org/news/secadv/20161110.txt

https://www.openssl.org/（補丁地址）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11090

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11095

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11093

關于OpenSSL存在多個拒絕服務漏洞的安全公告