新闻链接：http://www.seehand.com/digest/325.html
   新闻时间：2015-01-15
   新闻正文：

服务器管理员被建议再次升级OpenSSL以修复八个安全漏洞，其中两个安全漏洞可能导致DoS拒绝服务式网络攻击。

这些安全漏洞仅仅是温和、较低的安全级别，并不像去年发现的Heartbleed漏洞那样具有特别严重的危害性。Heartbleed安全漏洞能够允许网络攻击者从服务器窃取包括加密密钥在内的敏感隐私信息。

安全风险智能解决方案提供商Rapid7公司的技术经理Tod Beardsley在邮件中表示，然而，系统管理员应当计划在未来几天升级其OpenSSL服务器实例。

最新发布的OpenSSL版本为1.0.1k, 1.0.0p and 0.9.8zd。

被发现的两个拒绝服务式DoS攻击安全漏洞，分别被标记为CVE-2014-3571以及 CVE-2015-0206，仅仅影响到OpenSSL的DTLS数据安全传输协议的实现和启用，DTLS数据安全传输协议并不如TLS安全传输层协议那样被广泛的使用。

DTLS数据安全传输协议为数据报协议，如UDP，提供了加密通信，并且被用于VPN虚拟专用网络以及WebRTC网络实时通信。

Beardsley表示，为了保持可靠的服务，OpenSSL应当及时被更新修复和升级替换到不受这些安全漏洞影响的SSL数据库，如LibreSSL。

其他的安全漏洞应用于TLS安全传输层协议，并且当OpenSSL为no-ssl3选项时，可能会导致意外的行为发生。当OpenSSL为no-ssl3选项时，服务器将接受用于计算机用户身份验证的没有数位凭证验证信息的DH证书，并且可能计算机用户接受缺失服务器密钥交换信息的ECDH密钥交换协议信号交换，这将消除掉加密套接字的正向加密安全属性。

Beardsley表示，我们仍然在调查今天披露的这些问题。虽然这些安全漏洞看起来并没有导致远程代码执行或信息外泄，但一旦我们发现了任何新发的、超出预期的网络攻击，我们将立刻告知OpenSSL团队。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！