保安警报(A15-12-02): OpenSSL 多个漏洞

描述：

OpenSSL程序库存在多个漏洞。远程攻击者可以攻击内存泄漏问题或利用空指标解除(NULL pointer dereference)问题来进行拒绝服务攻击。

受影响的系统：

• OpenSSL 0.9.8zg, 1.0.0s, 1.0.1p, 1.0.2d 和之前的版本
• 操作系统、网页服务器、虚拟私人网络网关或采用受影响的OpenSSL链接库的装置

影响：

成功利用这些漏洞可以导致拒绝服务。

建议：

有关漏洞已在OpenSSL 0.9.8zh, 1.0.0t, 1.0.1q 和1.0.2e版本中修复。采用OpenSSL以加密网络通讯的系统，例如受HTTPS保护的网站或SSL-VPN网关的用户须留意有关漏洞及采取必要措施。用户应联络产品供货商以确认是否受有关问题影响。

进一步信息：

https://www.openssl.org/news/secadv/20151203.txt
https://www.us-cert.gov/ncas/current-activity/2015/12/03/OpenSSL-Patches-Multiple-Vulnerabilities
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3193 (至CVE-2015-3196)