如冰5.0.0修复多个第三方库(R3)漏洞

日志关联引擎(特性)4.8.2可能是由多个漏洞报告第三方库的影响。站得住脚的没有调查,以确定是否每一个可利用的或脆弱的代码路径可以到达。相反,开发升级影响库作为一个更快、更安全的选择。由于库升级的数量和这些问题中的任何一个潜在的影响特性的用户,我们强烈建议您升级。在某些情况下,旧版本比4.8.2可能影响这些问题的一个子集。

以下漏洞与更新的图书馆已经得到解决。

• OpenSSL CRL处理未指明的空指针废弃DoS (cve - 2016 - 7052)
• OpenSSL连续预警警报处理CPU疲惫远程DoS的弱点(cve - 2016 - 8610)
• libcurl lib /兰德。c randit()函数未初始化随机值弱密码操作(cve - 2016 - 9594)
• jQuery UI对话框()函数closeText参数XSS (cve - 2016 - 7103)
• 车把lib /车把/跑龙套。js模板非上市属性不当逃离XSS弱点(cve - 2015 - 8861 / cve - 2015 - 8862)

如冰的Windows客户端4.4.0可能是由多个漏洞报告第三方库的影响。站得住脚的没有调查,以确定是否每一个可利用的或脆弱的代码路径可以到达。相反,开发升级影响库作为一个更快、更安全的选择。由于库升级的数量和这些问题中的任何一个潜在的影响:Windows客户端用户,我们强烈建议您升级。在某些情况下,旧版本比4.4.0可能影响这些问题的一个子集。只因为Windows客户端连接到一个administrator-designated:服务器升级第三方库不是因为开发需要的优先级高的人如冰服务器或控制进行MitM攻击一个特权的网络。

以下漏洞与更新的图书馆已经得到解决。注意,这些问题没有CVE的几个。

• OpenSSL Bignum平方不正确的结果的弱点(cve - 2014 - 3570)
• OpenSSL TLS DH证书丢失证书验证消息处理MitM欺骗(SKIP-TLS) (cve - 2015 - 0205)
• OpenSSL dtls1_get_record迪泰消息处理NULL指针远程DoS (cve - 2014 - 3571)
• OpenSSL dtls1_buffer_record()函数迪泰记录饱和处理内存泄漏远程DoS (cve - 2015 - 0206)
• OpenSSL RSA临时密钥处理EXPORT_RSA密码降级MitM(反常)(cve - 2015 - 0204)
• OpenSSL签名算法/签名编码修改证书指纹操纵弱点(cve - 014 - 8275)
• OpenSSL失踪服务器密钥交换消息处理ECDH密码套件降级问题(cve - 2014 - 3572)
• OpenSSL s23_srvr。c ssl23_get_client_hello()函数SSLv3握手处理NULL指针远程DoS (cve - 2014 - 3569)
• OpenSSL简单s2_srvr。c RSA CMS签名Bleichenbacher弱点(cve - 2016 - 0704)
• OpenSSL s2_srvr。c零清除键长度处理SSLv2的站点时主密钥信息披露(cve - 2016 - 0703)
• OpenSSL SSLv2的站点时CLIENT-MASTER-KEY消息处理断言远程DoS (cve - 2015 - 0293)
• OpenSSL PKCS # 7失踪外ContentInfo处理NULL指针DoS (2015 - 0289)
• OpenSSL加密/ asn1 / tasn_dec。asn . 1 c ASN1_item_ex_d2i()函数结构重用内存损坏(cve - 2015 - 0287)
• OpenSSL加密/ asn1 / a_type。c ASN1_TYPE_cmp()函数无效阅读DoS (cve - 2015 - 0286)
• OpenSSL加密/ x509 / x509_req。c X509_to_X509_REQ()函数公钥处理NULL指针DoS (cve - 2015 - 0288)
• OpenSSL加密/ ec / ec_asn1。c d2i_ECPrivateKey()函数错误处理Use-after-free DoS (cve - 2015 - 0209)
• OpenSSL signedData消息未知的哈希函数处理Infinte循环远程DoS (cve - 2015 - 1792)
• OpenSSL加密/ pkcs7 / pk7_doit。c PKCS7_dataDecode()函数ASN.1-encoded PKCS # 7团处理NULL指针远程DoS (cve - 2015 - 1790)
• OpenSSL加密/ x509 / x509_vfy。c X509_cmp_time()函数ASN1_TIME字符串处理界外阅读问题(cve - 2015 - 1789)
• OpenSSL加密/ bn / bn_gf2m。c BN_GF2m_mod_inv()函数ECParameters结构二元多项式现场解析无限循环远程DoS (cve - 2015 - 1788)
• OpenSSL NewSessionTicket票重用双重释放远程未指明的问题(cve - 2015 - 1791)
• OpenSSL相移键控身份暗示SSL_CTX结构更新双重释放问题(cve - 2015 - 3196)
• OpenSSL X509_ATTRIBUTE结构处理内存泄漏远程DoS (cve - 2015 - 3195)
• Libxml2多个功能格式化字符串(cve - 2016 - 4448)
• Libxml2解析器。c xmlParseElementDecl () / xmlParseConditionalSections()函数界外阅读问题(cve - 2016 - 4447)
• Libxml2解析器。c xmlStringLenDecodeEntities()函数指定XML外部实体(XXE)注入问题(cve - 2016 - 4449)
• Libxml2解析器。c xmlParseStartTag2()函数堆Use-after-free (cve - 2016 - 1835)
• Libxml2 xmlregexp。c xmlFAParseCharRange()函数堆缓冲区溢出(cve - 2016 - 1840)
• Libxml2解析器。c xmlParseNCNameComplex()函数堆Use-after-free (cve - 2016 - 1836)
• Libxml2 xmlstring。c xmlStrncatNew()函数堆缓冲区溢出(cve - 2016 - 1834)
• Libxml2 HTMLparser。c htmlParseSystemLiteral () / htmlParsePubidLiteral()函数堆缓冲区溢出(cve - 2016 - 1837)
• Libxml2 xmlsave。c xmlBufAttrSerializeTxtContent()函数恢复模式XML内容处理界外阅读问题(2016 - 4483)
• Libxml2解析器。c多个函数递归xmlStringDecodeEntities()调用处理堆栈溢出DoS (cve - 2016 - 3705)
• Libxml2 HTMLparser。c htmlParseName () / htmlParseNameComplex()函数界外阅读问题(cve - 2016 - 1839)
• Libxml2解析器。c xmlParserEntityCheck()函数恢复模式XML内容解析递归DoS (cve - 2016 - 3627)
• Libxml2解析器。c xmlParseEndTag2()函数界外阅读问题(cve - 2016 - 1838 / cve - 2016 - 1695)
• Libxml2 parserInternals。c xmlNextChar()函数界外阅读问题(cve - 2016 - 1833)
• Libxml2 uri。c xmlParse3986Port()函数端口参数处理整数溢出不明的问题
• Libxml2 HTMLparser。c htmlParseNameComplex()函数HTML文件编码检测失败

注意CVSSv2得分与此相关咨询OpenSSL融入特定特性的Windows客户端和假设最坏的情况。这些更新是主动的;站得住脚的没有剥削和其中的一些问题可能不影响形变特性或特性的Windows客户端。

请注意,站得住脚的强烈建议,如冰被安装在一个子网,不是网络可寻址的。