OpenSSL 发布多个更新版本，修复 DoS 漏洞

OpenSSL 发布了更新版本 —— 1.0.2a, 1.0.1m, 1.0.0r 和 0.9.8zf ，这些版本主要是定位 12 个缺陷，但并非所有 OpenSSL 版本都受这些问题影响。

这 12 个漏洞中最严重的是 CVE-2015-0291 ，该漏洞可导致 DoS 拒绝服务攻击，这个漏洞只影响 OpenSSL 1.0.2 分支。

如果客户端连接到一个使用 OpenSSL 1.0.2 的服务器上，并使用无效的签名算法扩展进行再次协商，那么将会触发一个删除空指针的问题，详情请看 OpenSSL 项目的 安全建议

OpenSSL 项目成员 Mark Cox 在其博客解释到：攻击者可以利用这个漏洞来进行拒绝服务攻击。不过存在该漏洞的目标数量有限，因为 OpenSSL 1.0.2 刚发布一个月，很多服务器并没有使用这个版本。

OpenSSL 同时维护了多个不同的主要版本，OpenSSL 1.0.1 的用户如果不需要一些新特性的话，无需升级到 1.0.2 版本，因为 1.0.1 版本也在继续维护中。

Source: pcadvisor