保安警報(A15-12-02): OpenSSL 多個漏洞

描述：

OpenSSL程式庫存在多個漏洞。遠端攻擊者可以攻擊記憶體洩漏問題或利用空指標解除(NULL pointer dereference)問題來進行拒絕服務攻擊。

受影響的系統：

• OpenSSL 0.9.8zg, 1.0.0s, 1.0.1p, 1.0.2d 和之前的版本
• 操作系統、網頁伺服器、虛擬私人網絡閘道或採用受影響的OpenSSL程式庫的裝置

影響：

成功利用這些漏洞可以導致拒絕服務。

建議：

有關漏洞已在OpenSSL 0.9.8zh, 1.0.0t, 1.0.1q 和1.0.2e版本中修復。採用OpenSSL以加密網絡通訊的系統，例如受HTTPS保護的網站或SSL-VPN閘道的用戶須留意有關漏洞及採取必要措施。用戶應聯絡產品供應商以確認是否受有關問題影響。

進一步資訊：

https://www.openssl.org/news/secadv/20151203.txt
https://www.us-cert.gov/ncas/current-activity/2015/12/03/OpenSSL-Patches-Multiple-Vulnerabilities
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3193 (至CVE-2015-3196)