OpenSSL发布了针对“高”严重性漏洞的修补程序

最严重的是一个基于堆的缓冲区溢出漏洞（CVE-2016-7054），该漏洞与使用*-CHACHA20-POLY1305密码套件的传输层安全（TLS）连接有关。

谷歌安全团队的RobertŚwięcki在9月25日报告了该漏洞，该漏洞会破坏更大的有效负载，导致OpenSSL崩溃，从而导致DoS攻击。

该漏洞的严重性被评定为“高”，不影响1.1.0之前的OpenSSL版本。然而，OpenSSL团队报告称，没有证据表明该漏洞可以在DoS攻击之外被利用。

OpenSSL项目还修补了一个可能导致应用程序崩溃的中等严重性缺陷（CVE-2016-7053）。

“解析无效CMS结构的应用程序可能会因空指针取消引用而崩溃。这是由OpenSSL 1.1.0中处理ASN.1选择类型的错误造成的，如果试图释放某些无效编码，可能会导致将空值传递给结构回调。只有使用回调的选择结构不会ot句柄空值会受到影响，”该团队解释道。

The vulnerability also only affects OpenSSL 1.1.0.

OpenSSL 1.1.0c更新还修复了一个低严重性缺陷(CVE-2016-7055)，这与Broadwell特定的蒙哥马利乘法程序有关，该程序处理可被256位整除但长度大于256位的输入长度。

该问题最初不被视为安全问题，但专家已经证明，攻击者可以在非常特定的情况下利用该漏洞。

该漏洞会影响OpenSSL 1.0.2版，但由于该漏洞的严重性较低，团队目前没有发布更新。该修复程序将包含在下一个1.0.2版本中。因此，建议用户等待。

强烈建议所有用户将其软件升级到OpenSSL版本1.1.0c。

与之前的公告一样，OpenSSL项目已提醒其用户，该项目将在2016年12月31日后不再支持OpenSSL 1.0.1版，并且在该截止日期后将不会收到任何安全更新。