OpenSSL程序库存在多个漏洞。远程攻击者可对受影响的TLS联机的Diffie-Hellman key exchange降级至512-bit出口级加密 (export-grade)从而进行中间人攻击 (称为Logjam攻击)。远程攻击者又可以透过将特制的公开密钥、数码证书请求、数码证书、PKCS#7讯息或signedData讯息发送至受影响系统来进行拒绝服务攻击。
成功利用这些漏洞可以导致拒绝服务或进行中间人攻击。
有关漏洞已在OpenSSL 0.9.8zg, 1.0.0s, 1.0.1n 和1.0.2b版本中修复。采用OpenSSL以加密网络通讯的系统,例如受HTTPS保护的网站或SSL-VPN网关的用户须留意有关漏洞及采取必要措施。用户应联络产品供货商以确认是否受有关问题影响。
受影响系统的用户应遵从产品供货商的建议,立即采取行动以降低风险。
http://openssl.org/news/secadv_20150611.txt
https://www.hkcert.org/my_url/zh/alert/15061201
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8176
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1788
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1789
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1790
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1791
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1792
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000