OpenSSL程式庫存在多個漏洞。遠端攻擊者可對受影響的TLS連線的Diffie-Hellman key exchange降級至512-bit出口級加密 (export-grade)從而進行中間人攻擊 (稱為Logjam攻擊)。遠端攻擊者又可以透過將特製的公開密鑰、數碼證書請求、數碼證書、PKCS#7訊息或signedData訊息發送至受影響系統來進行拒絕服務攻擊。
成功利用這些漏洞可以導致拒絕服務或進行中間人攻擊。
有關漏洞已在OpenSSL 0.9.8zg, 1.0.0s, 1.0.1n 和1.0.2b版本中修復。採用OpenSSL以加密網絡通訊的系統,例如受HTTPS保護的網站或SSL-VPN閘道的用戶須留意有關漏洞及採取必要措施。用戶應聯絡產品供應商以確認是否受有關問題影響。
受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
http://openssl.org/news/secadv_20150611.txt
https://www.hkcert.org/my_url/zh/alert/15061201
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8176
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1788
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1789
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1790
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1791
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1792
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000