OpenSSL ssl/s3_clnt.c远程拒绝服务漏洞(CVE-2015-3196)
发布日期:2015-07-16
更新日期:2015-12-07
受影响系统:
OpenSSL Project OpenSSL 1.0.1-1.0.1p
OpenSSL Project OpenSSL 1.0.0-1.0.0t
描述:
CVE(CAN) ID: CVE-2015-3196
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL 1.0.0-1.0.0t, 1.0.1-1.0.1p, 1.0.2-1.0.2d版本,用在多线程客户端时,ssl/s3_clnt.c将PSK identity hint写入到错误的数据结构中。通过构造的ServerKeyExchange消息,远程攻击者利用此漏洞可造成拒绝服务(竞争条件及双重释放)。
<*来源:OpenSSL
链接:
*>
建议:
厂商补丁:
OpenSSL Project
---------------
OpenSSL Project已经为此发布了一个安全公告(20151203)以及相应补丁:
20151203:OpenSSL Security Advisory [3 Dec 2015] - Updated [4 Dec 2015]
链接: