06-aug-2014: security advisory: nine security fixes
<a href="https://www.openssl.org/news/secadv_20140806.txt">https://www.openssl.org/news/secadv_20140806.txt</a>
openssl的tls協定降級攻擊(cve-2014-3511)
================================================== ===
在openssl的ssl / tls伺服器代碼中的缺陷會導緻伺服器協商
tls1.0,而不是更高的協定版本時clienthello消息是
嚴重的碎片化。這使得人在這方面的中間人攻擊者無法強制
降級到tls1.0,即使伺服器端和用戶端都支援更高的
協定版本,通過修改該用戶端的tls記錄。
openssl的1.0.1 ssl / tls伺服器的使用者應該更新到1.0.1i。
srp的緩沖區溢出(cve-2014-3512)
==================================
一個惡意的用戶端或伺服器可以發送無效的srp參數和溢出
内部緩沖區。隻有那些明确設定了srp的應用
使用受到影響。
openssl的1.0.1 ssl / tls的使用者應該更新到1.0.1i。