发布日期:2011-09-06
更新日期:2011-09-06
受影响系统:
OpenSSL Project OpenSSL 1.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2011-3207,CVE-2011-3210
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL在内部证书验证和短暂ECDH密码组的实现上存在CRL绕过和ECDH拒绝服务漏洞,恶意用户可利用此漏洞绕过某些安全限制并造成拒绝服务。
1)其内部证书验证中的错误可导致OpenSSL接受CRL的"nextUpdate"字段设置为过去的日期。
2)短暂ECDH密码组中的错误可导致以无效序列中的握手消息使受影响服务器崩溃。
建议:
--------------------------------------------------------------------------------
厂商补丁:
OpenSSL Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: