发布日期：2004-03-17
更新日期：2004-03-19

受影响系统：

OpenSSL Project OpenSSL 0.9.7c
OpenSSL Project OpenSSL 0.9.7b
OpenSSL Project OpenSSL 0.9.7a
OpenSSL Project OpenSSL 0.9.6l
OpenSSL Project OpenSSL 0.9.6k
OpenSSL Project OpenSSL 0.9.6j
OpenSSL Project OpenSSL 0.9.6i
OpenSSL Project OpenSSL 0.9.6h
OpenSSL Project OpenSSL 0.9.6g
OpenSSL Project OpenSSL 0.9.6e
OpenSSL Project OpenSSL 0.9.6d
OpenSSL Project OpenSSL 0.9.6c

不受影响系统：

OpenSSL Project OpenSSL 0.9.7d
OpenSSL Project OpenSSL 0.9.6m

描述：

---

CVE(CAN) ID: CVE-2004-0079

OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。

OpenSSL在处理SSL/TLS握手实现时存在问题，远程攻击者可以利用这个漏洞使OpenSSL崩溃。

使用Codenomicon TLS测试工具，OpenSSL发现在do_change_cipher_spec()函数中存在一个NULL指针分配。远程攻击者可以构建特殊的SSL/TLS握手，发送给使用OpenSSL库的服务器，可导致OpenSSL崩溃，依赖此库的应用程序会产生拒绝服务。

<*来源：OpenSSL Security Advisory
  
  链接：http://www.openssl.org/news/secadv_20040317.txt
        http://www.uniras.gov.uk/vuls/2004/224012/index.htm
*>

建议：

---

厂商补丁：

OpenSSL Project
---------------
升级OpenSSL到0.9.7d或0.9.6m，重新编译任何静态连接OpenSSL库的应用程序。

OpenSSL0.9.7d和0.9.6m可从如下地址获得：

    ftp://ftp.openssl.org/source/

文件名为：

    o openssl-0.9.7d.tar.gz
      MD5 checksum: 1b49e90fc8a75c3a507c0a624529aca5
    
    o openssl-0.9.6m.tar.gz [normal]
      MD5 checksum: 1b63bfdca1c37837dddde9f1623498f9
    o openssl-engine-0.9.6m.tar.gz [engine]
      MD5 checksum: 4c39d2524bd466180f9077f8efddac8c

浏览次数：3637
严重程度：0（网友投票）