OpenSSL ssl3_get_key_exchange（）释放后使用漏洞

OpenSSL ssl3_get_key_exchange（）释放后使用漏洞发布日期：2010-08-07
更新日期：2010-08-10受影响系统：
OpenSSL Project OpenSSL 1.0.0a
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 42306OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。OpenSSL的ssl/s3_clnt.c文件的ssl3_get_key_exchange（）函数中存在释放后使用错误，用户受骗连接到了恶意服务器并接受了恶意证书就可能导致拒绝服务或完全入侵使用OpenSSL库的应用。<*来源：Georgi Guninski （guninski@guninski.com）

链接：http://secunia.com/advisories/40906/
http://marc.info/？l=full-disclosure&m=128118059715976&w=2
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！http://marc.info/？l=full-disclosure&m=128118059715976&w=2建议：
--------------------------------------------------------------------------------
厂商补丁：OpenSSL Project
---------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.openssl.org/Oracle Siebel Option Pack for IE ActiveX控件内存初始化漏洞Novell Sentinel Log Manager多个Tomcat Servlet缺少认证漏洞相关资讯 openssl SSL

SSL在HTTPS和MySQL中的原理思考（08月19日）
OpenSSL 非对称加密算法DSA命令详（04月21日）
OpenSSL 证书请求和自签名命令req （04月21日）

OpenSSL 与 SSL 数字证书概念贴（05月08日）
OpenSSL 摘要和签名验证指令dgst使（04月21日）
研究人员发现OpenSSL随机数生成器（04月14日）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容