| 首页 > 新闻公告 > 公告详情
360GearTeam发现 OpenSSL 高危漏洞(CVE-2016-6304)
2016-09-22

2016年9月22日OpenSSL官方发布新版本并修复了14个漏洞,其中包括8个来自奇虎360信息安全部GearTeam安全研究员石磊报告的漏洞,列表如下:

 

漏洞编号:  CVE-2016-6304

危险等级:高

漏洞信息:具体见链接  http://security.360.cn/cve/CVE-2016-6304/

        

漏洞编号:  CVE-2016-2180

危险等级:低

漏洞信息:函数 TS_OBJ_print_bio() 越界读导致栈溢出,拒绝服务。

        

漏洞编号:  CVE-2016-2182

危险等级:低

漏洞信息:函数 BN_bn2dec() 越界写导致堆溢出,拒绝服务。

 

漏洞编号:  CVE-2016-6302

危险等级:低

漏洞信息:使用 SHA512 算法时,攻击者可构造畸形 ticket 使函数 tls_decrypt_ticket() 越界读导致堆溢出,拒绝服务。

 

漏洞编号:  CVE-2016-6303

危险等级:低

漏洞信息:函数 MDC2_Update() 整数溢出,越界读写,拒绝服务

 

漏洞编号:  CVE-2016-6306

危险等级:低

漏洞信息:函数 ssl3_get_client_certificate()ssl3_get_server_certificate() 越界读。

 

漏洞编号:  CVE-2016-6307

危险等级:低

漏洞信息:函数 tls_get_message_header() 未严格检查导致内存过度分配,攻击者可构造 Client-Hello 包令服务器分配 21M 内存

        

漏洞编号:  CVE-2016-6308

危险等级:低

漏洞信息:函数 dtls1_preprocess_fragment() 未严格检查导致内存过度分配,攻击者可构造 Client-Hello 包令服务器分配 21M 内存

 

在此,360安全应急响应中心建议相关企业、个人尽快更新OpenSSL补丁,以免遭受到攻击。