OpenSSL上周釋出OpenSSL 1.1.0c,修補了3個安全漏洞,其中一個屬於高風險的阻斷服務(DoS)漏洞,可藉以癱瘓OpenSSL。
此一編號為CVE-2016-7054的安全漏洞存在於採用CHACHA20-POLY1305密碼套件的TLS傳輸,屬於堆積緩衝區溢位漏洞,攻擊該漏洞唯一可能發生的事是癱瘓伺服器端,有鑑於近來全球DoS攻擊正在升溫,資安專家建議用戶儘速更新。
其他兩個漏洞則分別是中度風險的CVE-2016-7053與低度風險的CVE-2016-7055,前者為CMS解除參照Null的漏洞,可能導致解析無效CMS架構的應用程式當掉,後者是Montgomery乘法進位傳播臭蟲,可能產生錯誤的計算結果。
OpenSSL亦提醒,將於今年12月31日終止對OpenSSL version 1.0.1的支援,之後將不會再釋出安全更新,奉勸用戶展開升級。