OpenSSL 發布多個更新版本，修復 DoS 漏洞

OpenSSL 發布了更新版本 —— 1.0.2a, 1.0.1m, 1.0.0r 和 0.9.8zf ，這些版本主要是定位 12 個缺陷，但并非所有 OpenSSL 版本都受這些問題影響。

這 12 個漏洞中最嚴重的是 CVE-2015-0291 ，該漏洞可導致 DoS 拒絕服務攻擊，這個漏洞只影響 OpenSSL 1.0.2 分支。

如果客戶端連接到一個使用 OpenSSL 1.0.2 的服務器上，并使用無效的簽名算法擴展進行再次協商，那么將會觸發一個刪除空指針的問題，詳情請看 OpenSSL 項目的 安全建議

OpenSSL 項目成員 Mark Cox 在其博客解釋到：攻擊者可以利用這個漏洞來進行拒絕服務攻擊。不過存在該漏洞的目標數量有限，因為 OpenSSL 1.0.2 剛發布一個月，很多服務器并沒有使用這個版本。

OpenSSL 同時維護了多個不同的主要版本，OpenSSL 1.0.1 的用戶如果不需要一些新特性的話，無需升級到 1.0.2 版本，因為 1.0.1 版本也在繼續維護中。

Source: pcadvisor