OpenSSL修補高風險的DoS漏洞

OpenSSL上周釋出OpenSSL 1.1.0c，修補了3個安全漏洞，其中一個屬於高風險的阻斷服務（DoS）漏洞，可藉以癱瘓OpenSSL。

此一編號為CVE-2016-7054的安全漏洞存在於採用CHACHA20-POLY1305密碼套件的TLS傳輸，屬於堆積緩衝區溢位漏洞，攻擊該漏洞唯一可能發生的事是癱瘓伺服器端，有鑑於近來全球DoS攻擊正在升溫，資安專家建議用戶儘速更新。

其他兩個漏洞則分別是中度風險的CVE-2016-7053與低度風險的CVE-2016-7055，前者為CMS解除參照Null的漏洞，可能導致解析無效CMS架構的應用程式當掉，後者是Montgomery乘法進位傳播臭蟲，可能產生錯誤的計算結果。

OpenSSL亦提醒，將於今年12月31日終止對OpenSSL version 1.0.1的支援，之後將不會再釋出安全更新，奉勸用戶展開升級。

文章來源: http://www.ithome.com.tw/news/109566

圖片來源: https://pixabay.com/