شماره: IRCNE2014062210
تاريخ:17 /03/93
بنا به گزارشات چندين آسيب پذيري در OpenSSL برطرف شده است. قابل توجه ترين آسيب پذيري مربوط به آسيب پذيري MitM در SSL/TLS بوده است.
تمامي نسخه هاي كلاينت OpenSSL آسيب پذيري مي باشند. تنها نسخه هاي 1.0.1 و 1.0.2-beta1 از سرورهاي OpenSSL آسيب پذير است.
به كاربران توصيه مي شود تا موارد زير را اجرا نمايند:
- كاربران OpenSSL 0.9.8 DTLS بايد به نسخه 0.9.8za ارتقاء دهند.
- كاربران OpenSSL 1.0.0 DTLS بايد به نسخه 1.0.0m ارتقاء دهند.
- كاربران OpenSSL 1.0.1 DTLS بايد به نسخه 1.0.1h ارتقاء دهند.
شركت گوگل نسخه جديدي از كروم را براي اندرويد منتشر كرده است كه نسخه OpenSSLآن 1.0.1h مي باشد.
موارد ديگري كه در OpenSSL برطرف شده است عبارتند از:
- آسيب پذيري قطعه نامعتبر DTLS: سرريز بافر به طور بالقوه مورد سوء استفاده قرار مي گيرد تا كدي دلخواه بر روي سيستم اجرا شود.
- حفره بازگشت DTLS: منجر به انكار سرويس مي شود.
- ارجاع مجدد اشاره گر NULL در SSL_MODE_RELEASE_BUFFERS: منجر به انكار سرويس مي شود.
- تزريق نشست يا انكار سرويس SSL_MODE_RELEASE_BUFFERS: منجر به تزريق داده بين بخشي يا انكار سرويس مي شود.
- انكار سرويس ناشناس ECDH: منجر به انكار سرويس مي شود.
- 4