发布日期：2004-03-17
更新日期：2004-03-19

受影响系统：

OpenSSL Project OpenSSL 0.9.7c
OpenSSL Project OpenSSL 0.9.7b
OpenSSL Project OpenSSL 0.9.7a

不受影响系统：

OpenSSL Project OpenSSL 0.9.7d

描述：

---

CVE(CAN) ID: CVE-2004-0112

OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。

OpenSSL在处理使用Kerberos ciphersuites的SSL/TLS握手实现时存在问题，远程攻击者可以利用这个漏洞使OpenSSL崩溃。

当使用Kerberos ciphersuites时，SSL/TLS握手代码存在一个缺陷，远程攻击者可以构建特殊的SSL/TLS握手，发送给配置使用了Kerberos ciphersuites的服务器，可导致OpenSSL崩溃，多数应用程序一般不使用Kerberos ciphersuites因此不受此漏洞影响。

<*来源：OpenSSL Security Advisory
  
  链接：http://www.openssl.org/news/secadv_20040317.txt
        http://www.uniras.gov.uk/vuls/2004/224012/index.htm
*>

建议：

---

厂商补丁：

OpenSSL Project
---------------
升级OpenSSL到0.9.7d或0.9.6m，重新编译任何静态连接OpenSSL库的应用程序。

OpenSSL0.9.7d和0.9.6m可从如下地址获得：

    ftp://ftp.openssl.org/source/

文件名为：

    o openssl-0.9.7d.tar.gz
      MD5 checksum: 1b49e90fc8a75c3a507c0a624529aca5
    
    o openssl-0.9.6m.tar.gz [normal]
      MD5 checksum: 1b63bfdca1c37837dddde9f1623498f9
    o openssl-engine-0.9.6m.tar.gz [engine]
      MD5 checksum: 4c39d2524bd466180f9077f8efddac8c

浏览次数：2922
严重程度：0（网友投票）