- **This network from China issued a series of articles - "OpenSSL fix hidden for 16 years" middleman "loophole ** - Indicates the number of patches for vulnerabilities, but learned not to issue a patch of mainland Chinese users before Useful family never been threatened in the Mainland, the Mainland and the 360 anti-virus software will be reminded that there will be related vulnerabilities are exploited by hackers ...??!! ---**這個來自中國網絡發出一編文章--"OpenSSL修復潛伏16年“中間人”漏洞**-- 表示對系統漏洞的一些補丁,.但據悉中國內地未對用家發出補丁前,未曾有用家在內地受到威脅,而該個360內地防毒軟件便提醒的説,將有相關漏洞會被黑客利用...??!!-
- ** Esta rede da China emitiu uma série de artigos - "OpenSSL corrigir escondido por 16 anos" intermediário "brecha ** - Indica o número de patches para vulnerabilidades, mas aprendi a não emitir um patch de usuários chineses do continente antes da família Útil nunca foram ameaçados no Continente, do Continente e do software anti-vírus 360 serão lembrados de que não será relacionado vulnerabilidades são exploradas por hackers ...?! -
- ** 중개인 "허점"OpenSSL을 16 년 동안 숨겨진 수정 "- - ** 중국에서이 네트워크는 일련의 기사 발행 취약점에 대한 패치의 수를 나타냅니다,하지만 가족을위한 유용한 전에 중국 본토 사용자의 패치를 결코 실행하지 않는 배웠다 본토 위협하고, 본토와 360 안티 바이러스 소프트웨어 취약점이 해커에 의해 악용되어이 관련 될 것이라고 생각 나게한다 ...?! -
- ** Esta red de China publicó una serie de artículos - "OpenSSL arreglar oculto durante 16 años" intermediario vacío legal "** - Indica el número de parches para las vulnerabilidades, pero aprendió a no emitir un parche de la parte continental de China a los usuarios antes de que la familia nunca Útil sido amenazados en el continente, el continente y el software anti-virus 360 se les recordará que no estarán relacionados vulnerabilidades son explotadas por los hackers ...??!! -
- ** Dieses Netzwerk aus China gab eine Reihe von Artikeln - "OpenSSL beheben versteckten seit 16 Jahren" Zwischenhändler "Schlupfloch ** - Gibt die Anzahl der Patches für Sicherheitslücken, aber gelernt, nicht ein Stück Festland chinesische Nutzer vor Nützliche Familie nie ausgeben auf dem Festland bedroht wurde, wird dem Festland und der 360 Anti-Virus-Software daran erinnert, dass es bezogen werden Schwachstellen werden von Hackern ausgenutzt werden ...?! -
- ** Эта сеть из Китая выпустил серию статей - "OpenSSL исправить скрытый в течение 16 лет" посредников "лазейку ** - Показывает количество патчей для уязвимостей, но узнал не выдать участок материкового Китая пользователей, прежде чем Полезная семьи никогда угрожали в материковом, материк и антивирусное программное обеспечение 360 будут напоминать, что будет связано уязвимости эксплуатируется хакерами ...?! -
- **中国からのこのネットワークは、一連の記事を発表した - "OpenSSLの16年間隠された修正"仲介者 "抜け穴**は - 脆弱性に対するパッチの数を示しますが、便利な家族の前に本土の中国のユーザーのパッチを発行することはないことは学んだ本土で脅され、本土と360アンチウイルスソフトウェアは、脆弱性がハッカーに悪用されてそこに関連していることを思い出されます···?! -
- ** Tiu reto de Ĉinio publikigis serion da artikoloj - "OpenSSL ripari kaŝitajn dum 16 jaroj" Middleman "fenestreto ** - Indikas la nombron de flikaĵoj por vulnerabilidades, sed lernis ne emanigi flikajxon el ĉeftero ĉinaj uzantoj antaux Utilaj familio neniam estis minacata en la kontinento, la kontinento kaj la 360 antivirus programaro estos memorigis ke tie estos rilataj vulnerabilidades estas ekspluatita per hackers ...??!! -
***--Please use Google with a large family of God translator to translate your country / language city Oh ^ ^
--請各位用家善用谷歌大神的翻譯器,來翻譯你們的國家/城市的語言喔^^
--Por favor, use o Google com
uma grande familia de Deus tradutor para traduzir sua cidade pais / idioma Oh ^
^
--** - 국가 / 언어 시 를 번역하는 하나님 번역기 의 큰 가족과 함께 구글을 사용하십시오 아 ^ ^
--S'il vous plait utilisez
Google avec une grande famille de Dieu traducteur pour traduire votre ville de
pays / langue Oh ^ ^
--Bitte verwenden Sie Google
mit einer grosen Familie Gottes Ubersetzer zu Ihrem Land / Sprache ubersetzen
Stadt Oh ^ ^
--*** - あなたの国/言語の街を翻訳する神トランスレータの大きなファミリーでGoogleを使用してくださいああ^ ^
** - Sila gunakan Google dengan
keluarga besar penterjemah Tuhan untuk menterjemahkan bandar negara / bahasa
anda Oh ^ ^
--** - Utilice Google con una
gran familia de Dios traductor para traducir tu ciudad país / idioma Oh ^ ^
** - Si prega di utilizzare
Google con una grande famiglia di Dio traduttore per tradurre la tua città paese / lingua Oh ^ ^
--Sila gunakan Google dengan
keluarga besar penterjemah Tuhan untuk menterjemahkan bandar negara / bahasa
anda Oh ^ ^
--Bonvole uzu Google kun
granda familio de Dio tradukisto traduki via lando / lingvo urbon Ho ^ ^ ***
*Reads as follows ---http://www.enet.com.cn/
OpenSSL fixes hidden for 16 years "middleman" Vulnerability
http://www.enet.com.cn/security/ 2014 年 06 月 06 日
Source: TechWeb
Last night, OpenSSL team released five new security patches,
Used to repair seven high-risk vulnerabilities
Which number CVE-2014-0224 vulnerabilities have been lurking for 16 years,
The vulnerability could lead to a "middleman" OpenSSL encryption intercepted website login passwords,
Important data email, chats, and so on.
It introduced 360 network attack and defense laboratories, because there is no public exploit code,
OpenSSL has released patches and timely,
Real threat this wave of vulnerabilities will be lower than "bleeding heart."
Official website announcements,
The five security patches released OpenSSL team
The main fixes CVE-2014-0224, CVE-2014-0221,
CVE-2014-0195, CVE-2010-5298,
CVE-2014-0198, CVE-2014-3470, CVE-2014-0076 seven holes,
Involving more than OpenSSL versions.
Among them, the number CVE-2014-0195 vulnerability in OpenSSL -
- Can lead to remote execution of arbitrary code hackers, great harm;
Number CVE-2014-0224 vulnerability is lurking 16 years "middleman" loophole.
Exploit the vulnerability, a hacker can launch OpenSSL encrypted traffic through a "middleman" decrypt
Direct interception traffic content.
However, only when the server and client vulnerabilities exist,
Communicate with each other and are hacker can decrypt eavesdropping traffic content.
In order to eliminate safety hazards,
360 reminds major sites related to OpenSSL version upgrade as soon as possible.
Because with the release of the patch, patch hackers who will study exploits making tools,
Those who do not timely patching site at risk. (BEIJING IT Channel
Attached: OpenSSL vulnerabilities and fixes the latest information -
Middlemen cheat (MITM) vulnerabilities
Affecting the client (full version) and server (1.0.1 and 1.0.2-beta1).
Suggestions:
Please update to 0.9.8za.
Please update to 1.0.0m.
Please update to 1.0.1h.
Denial of Service vulnerability, an attacker can send a malicious DTLS handshake packets, resulting in denial of service.
Suggestions:
Please update to the user
Users update to 1.0.0m.
Users update to 1.0.1h.
Arbitrary code execution vulnerability, an attacker can send a malicious DTLS fragmetns to OpenSSL DTLS client or server, will be able to vulnerable client or server cause arbitrary code execution.
Suggestions:
Please update to the user
Users update to 1.0.0m.
Users update to 1.0.1h.
Denial of service vulnerability, do_ssl3_write () function allows remote users via a null pointer reference, this vulnerability only affects OpenSSL 1.0.0 and 1.0.1 when SSL_MODE_RELEASE_BUFFERS open environment (non-default option).
Proposal
Users update to 1.0.0m.
Users update to 1.0.1h.
Session injection & Denial of Service vulnerability, an attacker using ssl3_read_bytes function of competition can inject data or make the server denial of service between sessions.
This vulnerability only affects multi-threaded applications using OpenSSL1.0.0 and 1.0.1, which SSL_MODE_RELEASE_BUFFERS is enabled (not common, is not the default setting).
Denial of service vulnerability when OpenSSL TLS clients to enable anonymous ECDH cipher suite may result in a denial of service attack.
Proposal
Please update to the user
Users update to 1.0.0m.
Users update to 1.0.1h.
OpenSSL ECDSA problem encryption vulnerabilities, OpenSSL 1.0.0l and earlier versions of Montgomery ladder to achieve security vulnerabilities during the vulnerability stems from Elliptic Curve Digital Signature Algorithm errors (ECDSA) in. Remote attackers can FLUSH + RELOAD Cache side-channel attacks exploit the vulnerability Get ECDSA random values.
Suggestions:
Users update to OpenSSL 1.0.1g.
-------------------------------------------------- --------------------------------------
http://melodytoyssexy.blogspot.com/2014/06/usauktwptfdzsouth-of_6.htm
**First, China this -> 360 anti-virus software necessary awareness.
Because in addition to its users mostly in the Mainland
Other countries where the software was deterred from visiting.
On one has mentioned China's anti-virus software,
Even third-party link to download the accompanying knot come
But many are difficult Chan obscure rogue software virus programs
They entered the computer / system really long latent period will last.
OpenSSL worries as a thorough, this form of invading viruses can be Diversification of.
Mainland China is not a real anti-virus software, such as Germany, Russia, the United Kingdom and South Korea
In the rest of the world also has a program to solve / tools
The most important is to remove any virus software / tools
Must not own a third-party tool attachments
So your computer in order to feel at ease to download
The contact with the family by the viruses mentioned
Before they infected:
1) Download the game software over China
2) Install anti-virus software, China produced / China Download and install
3) Receiving unknown mail, mobile apps, online fraud login form ... etc.
So many people not to download programs / tools are not the first concept
It is easy to be misled.
The network a lot in various forms of induction / lure people Zhanxiaopianyi psychology.,
Put your lure lead to a site that has solved the game inside the VIP Card / Raiders points / game ... look for Campbell
These are born of deceit rogue website, you really only trick to cheat it.
The more anxious you want a game card, you will be more days in its attempt at the crossing site.
So have any of the online stuff first cognition,
Should not indulge go Oh!
Real "swastika hacker who" just does not lock with such low-level behavior.
Crack a thing / give the public direct download
Not published works for money
This is also from my super idol {Taiwan] where feelings come to share.
Sincerely MelodyRO Thanksgiving~
-------------------------------------------------- -------------------------------------------------
全文如下---
OpenSSL修復潛伏16年“中間人”漏洞
http://www.enet.com.cn/security/ 2014年06月06日
來源:TechWeb
昨晚,OpenSSL團隊發布了5個新的安全補丁,
用於修復七處高危漏洞,
其中編號為CVE-2014-0224的漏洞已潛伏16年,
該漏洞可導致“中間人”截獲OpenSSL加密的網站登錄密碼、
電子郵件、聊天記錄等重要數據。
據360網絡攻防實驗室介紹,由於目前沒有公開的漏洞攻擊代碼,
而且OpenSSL已及時發布補丁,
這波漏洞的實際威脅會低於“心臟出血”。
官網公告顯示,
本次OpenSSL團隊發布的5個安全補丁
主要修復CVE-2014-0224、CVE-2014-0221、
CVE-2014-0195、CVE-2010-5298、
CVE-2014-0198、CVE-2014- 3470、CVE-2014-0076等七個漏洞,
涉及多個OpenSSL版本。
其中,編號為CVE-2014-0195的OpenSSL漏洞--
--可導致黑客遠程執行任意代碼,危害較大;
編號為CVE-2014-0224漏洞則是潛伏16年的“中間人”漏洞。
利用該漏洞,黑客可通過OpenSSL加密的流量發動“中間人”解密,
直接竊聽流量中的內容。
不過,只有當服務器和客戶端同時存在該漏洞、
且正在互相通信時,黑客才可以解密竊聽流量中的內容。
為了消除安全隱患,
360提醒各大網站盡快升級相關OpenSSL版本。
因為隨著補丁的發布,黑客攻擊者會研究補丁製作漏洞攻擊工具,
那些沒有及時打補丁的網站將面臨風險。(中新網IT頻道
附:OpenSSL最新漏洞和修復信息--
中間人欺騙(MITM)漏洞,
影響客戶端(全版本)和服務端(1.0.1 and 1.0.2-beta1)。
建議:
請更新到0.9.8za。
請更新到1.0.0m。
請更新到1.0.1h。
拒絕服務漏洞,攻擊者可通過發送一個惡意的DTLS握手包,導致拒絕服務。
建議:
用戶請更新到
用戶請更新到1.0.0m。
用戶請更新到1.0.1h。
任意代碼執行漏洞,攻擊者可發送一個惡意的DTLS fragmetns到OpenSSL DTLS客戶端或服務端,將能夠在存在漏洞的客戶端或服務端引起任意代碼執行。
建議:
用戶請更新到
用戶請更新到1.0.0m。
用戶請更新到1.0.1h。
拒絕服務漏洞,do_ssl3_write()函數允許遠程用戶通過一個空指針引用,這個漏洞僅僅影響OpenSSL 1.0.0和1.0.1當SSL_MODE_RELEASE_BUFFERS開啟的環境(非默認選項)。
建議
用戶請更新到1.0.0m。
用戶請更新到1.0.1h。
會話注入&拒絕服務漏洞,攻擊者利用ssl3_read_bytes 函數的競爭機制可以在會話之間注入數據或者使服務端拒絕服務。
此漏洞僅影響使用OpenSSL1.0.0多線程應用程序和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被啟用(不常見,並非默認設置)。
拒絕服務漏洞,當OpenSSL TLS客戶端啟用匿名ECDH密碼套件可能導致拒絕服務攻擊。
建議
用戶請更新到
用戶請更新到1.0.0m。
用戶請更新到1.0.1h。
OpenSSL ECDSA 加密問題漏洞,OpenSSL 1.0.0l及之前版本中的Montgomery ladder實現過程中存在安全漏洞,該漏洞源於Elliptic Curve Digital Signature Algorithm (ECDSA)中存在錯誤。遠程攻擊者可通過FLUSH+RELOAD Cache旁道攻擊利用該漏洞獲取ECDSA隨機數值。
建議:
用戶請更新到OpenSSL 1.0.1g。
----------------------------------------------------------------------------------------
http://melodytoyssexy.blogspot.com/2014/06/usauktwptfdzsouth-of_6.htm
**首先對中國這個-->360防毒軟件必要的認知.
因為除了它的用家多是在內地的
而其他國家地方對該軟件卻望之卻步.
上一篇已提到中國的防毒軟件,
連隨附結的第三方連結下載得來的
卻多的是難纒難解的流氓軟件病毒程式
它們進入了電腦/系统所潛伏的時期真的有多久便多久.
OpenSSL的隱憂如同一徹,這個形式入侵的病毒可以是多様化的.
而真正不是中國內地的防毒軟件,如德國,俄羅斯,英國及韓國的
在世界各地也有解决的程式/工具,
最重要的是解除病毒的任何軟件/工具
必定不能自帶第三方的附件工具
這樣你的電腦才可安心去下載
根據接觸受到病毒侵擾的用家所説的
他們在感染病毒前:
1).下載過中國的遊戲軟件
2).安装了中國出品/中國下載點而安裝的防毒軟件
3).接收不明的郵件,手機apps,網络詐騙登入狀...等等
所以很多人不對下載的程式/工具沒有了第一概念
是很容易被誤導的.
網络上很多很多的以各種形式的誘導/利誘人們佔小便宜的心理.,
把你誘導致某網站,説裡邊有解决游戲的VIP咭/攻略點數/尋金寶遊戲...
這些都是流氓所生的欺騙網站,確實只為騙你的技倆而已.
你越是急於想要的遊戲咭,你便多天在嘗試於它的網站渡著.
故此對任何網上的東東要有第一個認知,
亦不應沉迷下去喔!
真正的"卍黑客者"才不鎖用這麼低級的行為.
破解一東西/直接給予公眾下載的
都不是為金錢而發佈的作品
這也是我從我的超級偶象{台灣]哪裡感受而來的分享了.
MelodyRO感恩敬上~
-------------------------------------------------------------------------------------
Lê como se segue: ---
Correções OpenSSL escondido por 16 anos "intermediário" Vulnerabilidade
http://www.enet.com.cn/security/ 2014 年 06 月 06 日
Fonte: TechWeb
Ontem à noite, a equipe OpenSSL lançou cinco novos patches de segurança,
Usado para reparar sete vulnerabilidades de alto risco
Qual o número CVE-2014-0224 vulnerabilidades foram à espreita por 16 anos,
A vulnerabilidade pode levar a um "intermediário" OpenSSL criptografia interceptado site senhas de login,
Importante dados email, chats, e assim por diante.
Introduziu 360 ataques de rede e laboratórios de defesa, porque não há público código de exploração,
OpenSSL lançou correções e oportuna,
Ameaça real essa onda de vulnerabilidades será menor do que o "coração sangrando".
Anúncios oficiais do site,
Os cinco patches de segurança lançado equipe OpenSSL
As principais correções CVE-2014-0224, CVE-2014-0221,
CVE-2014-0195, CVE-2010-5298,
CVE-2014-0198, CVE-2014-3470, CVE-2014-0076 sete buracos,
Envolvendo mais do que as versões do OpenSSL.
Entre eles, o número CVE-2014-0195 vulnerabilidade no OpenSSL -
- Pode levar à execução remota de código arbitrário hackers, um grande mal;
Vulnerabilidade CVE-2014-0224 Número está à espreita 16 anos "intermediário" brecha.
Explorar a vulnerabilidade, um hacker pode lançar OpenSSL tráfego criptografado através de um decrypt "intermediário"
Conteúdo tráfego interceptação direta.
No entanto, apenas quando existem as vulnerabilidades do servidor e do cliente,
Comunique-se com os outros e são hacker pode descriptografar espionagem conteúdo tráfego.
A fim de eliminar os riscos de segurança,
360 lembra principais sites relacionados a versão OpenSSL atualizar o mais rápido possível.
Porque com o lançamento do patch, hackers de patch que estudarão exploits que fazem ferramentas,
Aqueles que não local patching em risco. (BEIJING Canal de TI
Em anexo: vulnerabilidades OpenSSL e corrige as informações mais recentes -
Intermediários enganar (MITM) vulnerabilidades
Afetando o cliente (versão completa) e servidor (1.0.1 e 1.0.2-beta1).
Sugestões:
Por favor, atualize para 0.9.8za.
Por favor, atualize para 1.0.0m.
Por favor, atualize para 1.0.1h.
Vulnerabilidade de negação de serviço, um atacante pode enviar um maliciosos pacotes DTLS aperto de mão, resultando em negação de serviço.
Sugestões:
Por favor, atualize para o usuário
Os usuários atualizem para 1.0.0m.
Os usuários atualizem para 1.0.1h.
Vulnerabilidade de execução de código arbitrário, um atacante pode enviar um maliciosos fragmetns DTLS ao cliente ou servidor OpenSSL DTLS, será capaz de cliente vulnerável ou causa servidor execução de código arbitrário.
Sugestões:
Por favor, atualize para o usuário
Os usuários atualizem para 1.0.0m.
Os usuários atualizem para 1.0.1h.
Vulnerabilidade de negação de serviço, função do_ssl3_write () permite que usuários remotos através de uma referência ponteiro nulo, esta vulnerabilidade afeta apenas OpenSSL 1.0.0 e 1.0.1 quando SSL_MODE_RELEASE_BUFFERS ambiente aberto (opção não-padrão).
Proposta
Os usuários atualizem para 1.0.0m.
Os usuários atualizem para 1.0.1h.
Injeção sessão & vulnerabilidade de negação de serviço, um atacante usando ssl3_read_bytes função da concorrência pode injetar dados ou fazer a negação de servidor do serviço entre as sessões.
Essa vulnerabilidade afeta somente os aplicativos multi-threaded usando OpenSSL1.0.0 e 1.0.1, que SSL_MODE_RELEASE_BUFFERS está habilitada (não é comum, não é a configuração padrão).
Vulnerabilidade de negação de serviço quando os clientes do OpenSSL TLS para permitir anônimo suíte ECDH cifra pode resultar em um ataque de negação de serviço.
Proposta
Por favor, atualize para o usuário
Os usuários atualizem para 1.0.0m.
Os usuários atualizem para 1.0.1h.
OpenSSL ECDSA vulnerabilidades criptografia problema, OpenSSL 1.0.0l e versões anteriores do escada Montgomery para alcançar as vulnerabilidades de segurança durante a vulnerabilidade decorre de erros de algoritmo de assinatura digital de curva elíptica (ECDSA) pol atacantes remotos pode lavar + ataques de canal lateral RELOAD Cache explorar a vulnerabilidade Obter valores aleatórios ECDSA.
Sugestões:
Os usuários atualizem para OpenSSL 1.0.1g.
-------------------------------------------------- -----------------------
http://melodytoyssexy.blogspot.com/2014/06/usauktwptfdzsouth-of_6.htm
**Primeiro, a China esta - software> 360 anti-vírus consciência necessário.
Porque além de seus usuários principalmente no Continente
Outros países onde o software foi dissuadido de visitar.
Em uma mencionou software anti-vírus da China,
Mesmo ligação de terceiros para baixar o nó que o acompanha vem
Mas muitos são os programas difíceis de vírus software Chan desonestos obscura
Eles entraram no computador / sistema muito longo período de latência vai durar.
OpenSSL preocupa como um completo, esta forma de invadir os vírus podem ser Diversificação.
China Continental não é um software anti-vírus real, como a Alemanha, Rússia, Reino Unido e Coreia do Sul
No resto do mundo também tem um programa para resolver / ferramentas
O mais importante é remover qualquer software antivírus / ferramentas
Não deve possuir um terceiro anexos ferramenta
Assim, o computador, a fim de se sentir à vontade para fazer o download
O contato com a família pelos vírus mencionados
Antes de infectados:
1) Faça o download do software do jogo sobre a China
2) Instale o software anti-vírus, a China produziu / China Baixe e instale
3) Recebimento de mensagens desconhecidas, aplicativos móveis, formulário de login fraudes on-line, etc ...
Então, muitas pessoas não baixar programas / ferramentas não é o primeiro conceito
É fácil de ser enganado.
A rede muito em várias formas de indução / atrair pessoas Zhanxiaopianyi psicologia.,
Coloque o seu principal chamariz para um site que resolveu o jogo dentro do Cartão VIP / Raiders pontos / jogo ... procure por Campbell
Estes nascem do site desonestos engano, você realmente só truque para enganar ele.
Quanto mais ansioso você quer um cartão de jogo, você vai ser mais dias em sua tentativa no local de cruzamento.
Então, tem alguma das coisas online cognição,
Não deve entrar ir Oh!
Real "suástica hacker que" simplesmente não trava com esse tipo de comportamento de baixo nível.
Crack a coisa / dar o download direto do público
Não publicado obras por dinheiro
Esta é também de meu super ídolo {Taiwan] onde os sentimentos vêm para dividir.
Sinceramente MelodyRO de Ação de Graças ~
-------------------------------------------------- -------------------------------------------------
다음과 같이 읽습니다 ---
OpenSSL을 수정은 "중개인"취약점 16 년 동안 숨겨
http://www.enet.com.cn/security/ 2014 年 06 月 06 日
출처 : TechWeb
지난 밤, OpenSSL이 팀은 다섯 개의 새로운 보안 패치를 발표
일곱 위험이 높은 취약성을 복구하는 데 사용
번호 CVE-2014-0224 취약점은, 16 년 동안 잠복되어있는
이 취약점은, "중개인"은 OpenSSL 암호화 차단 된 웹 사이트의 로그인 암호로 이어질 수
중요한 데이터는 메일, 채팅, 등.
공용 공격 코드가 없기 때문에, 360 네트워크 공격과 방어 연구소 소개
는 OpenSSL, 적시에 패치를 발표하고있다
실제적인 위협이 취약점이 파보다 낮은 것입니다 "심장 출혈."
공식 웹 사이트 공지 사항,
다섯 개의 보안 패치는 OpenSSL이 팀을 발표
주요 수정 CVE-2014-0224, CVE-2014-0221,
CVE-2014-0195, CVE-2010-5298,
CVE-2014-0198, CVE-2014-3470, CVE-2014-0076 7 개의 구멍,
OpenSSL이 버전 이상을 포함.
그 중, 수 CVE-2014-0195은 OpenSSL의 취약점 -
- 임의의 코드가 해커의 원격 실행, 중대한 상해를 입을 수있다;
번호 CVE-2014-0224 취약점 십육년 "중개인"허점이 숨어있다.
이 취약점을 악용하는 해커 위해 OpenSSL "중개인"해독을 통해 암호화 된 트래픽을 시작할 수 있습니다
직접 차단 트래픽의 내용.
그러나 때만 서버와 클라이언트 취약성이 존재
서로 통신하고 해커가 도청 트래픽 내용을 해독 할 수 있습니다.
안전 위험을 해소하기 위해,
360에서 OpenSSL 버전으로 가능한 빨리 업그레이드 관련 주요 사이트를 생각 나게한다.
때문에 도구를 만드는 공격을 공부합니다 패치, 패치 해커의 출시와 함께,
위험에 적시에 패치 사이트를하지 않는 사람들. (북경 IT 채널
OpenSSL이 취약점을하고 최신 정보를 수정 - : 첨부
중간은 (MITM) 취약점을 사기
클라이언트 (풀 버전)와 서버 (1.0.1과 1.0.2-β1)에 영향을 미치는.
제안 :
0.9.8za로 업데이트하시기 바랍니다.
1.0.0m으로 업데이트하시기 바랍니다.
1.0.1h로 업데이트하시기 바랍니다.
서비스 거부 취약점, 공격자는 서비스 거부 공격, 악의적 인 DTLS 핸드 셰이크 패킷을 보낼 수 있습니다.
제안 :
사용자에게 업데이트하세요
사용자는 1.0.0m으로 업데이트.
사용자는 1.0.1h으로 업데이트.
공격자가 OpenSSL을 DTLS 클라이언트 또는 서버에 악성 DTLS의 fragmetns를 보낼 수있는 임의의 코드 실행 취약점은 취약한 클라이언트 또는 서버 원인 임의의 코드를 실행 할 수 있습니다.
제안 :
사용자에게 업데이트하세요
사용자는 1.0.0m으로 업데이트.
사용자는 1.0.1h으로 업데이트.
서비스 거부 취약점이 do_ssl3_write () 함수는 널 포인터 참조를 통해 원격 사용자를 허용,이 취약점은 OpenSSL에 영향을 미치는 1.0.0과 1.0.1 때 SSL_MODE_RELEASE_BUFFERS 개방 환경 (기본이 아닌 옵션).
신청
사용자는 1.0.0m으로 업데이트.
사용자는 1.0.1h으로 업데이트.
서비스 취약점 세션 주입 및 거부, 경쟁의 ssl3_read_bytes 기능을 사용하여 공격자가 데이터를 삽입 또는 세션 사이에 서비스의 서버 거부를 할 수 있습니다.
이 취약점은 SSL_MODE_RELEASE_BUFFERS가 (일반적이지, 기본 설정이 아닌)가 활성화되고, OpenSSL1.0.0 및 1.0.1를 사용하는 멀티 스레드 응용 프로그램에 영향을줍니다.
OpenSSL을 TLS 클라이언트가 익명 ECDH 암호화 제품군을 가능하게하는 서비스 거부 취약점은 서비스 거부 공격이 발생할 수 있습니다.
신청
사용자에게 업데이트하세요
사용자는 1.0.0m으로 업데이트.
사용자는 1.0.1h으로 업데이트.
OpenSSL을 ECDSA 문제 암호화 취약점은 OpenSSL의 1.0.0l 및 취약점 중에 보안 취약점을 달성하기 위해 몽고메리 사다리의 이전 버전 인치 타원 곡선 디지털 서명 알고리즘의 오류 (ECDSA)에서 유래 원격 공격자 + RELOAD 캐시 사이드 채널 공격이 취약점을 악용 FLUSH 수 ECDSA 임의의 값을 얻는다.
제안 :
사용자에서 OpenSSL 1.0.1g로 업데이트.
-------------------------------------------------- ---------------------------
http://melodytoyssexy.blogspot.com/2014/06/usauktwptfdzsouth-of_6.htm
**첫째, 중국이 -> 360 안티 바이러스 소프트웨어를 필요 인식.
때문에 대부분 본토에서 그 사용자에 추가
소프트웨어가 방문 단념 한 다른 국가.
하나는 중국의 안티 바이러스 소프트웨어를 언급했습니다에,
첨부 된 매듭이 올 다운로드 심지어 타사 링크
그러나 많은 어려운 찬 어두운 악성 소프트웨어 바이러스 프로그램입니다
그들은 컴퓨터 / 시스템 정말 긴 잠복 기간이 지속됩니다 들어갔다.
OpenSSL을 철저한으로 걱정, 바이러스 침입이 형태는 다양 할 수 있습니다.
중국은 독일, 러시아, 영국, 한국 등의 실시간 안티 바이러스 소프트웨어, 아니다
세계의 나머지에 또한 / 도구를 해결하는 프로그램을 가지고
가장 중요한 것은 바이러스 소프트웨어 / 도구를 제거하는 것입니다
타사 도구의 첨부 파일을 소유하지합니다
그래서 컴퓨터로 다운로드 할 수 안심 느낄 수 있도록
언급 된 바이러스에 의해 가족과의 접촉
그들은 감염하기 전에 :
1) 중국을 통해 게임 소프트웨어를 다운로드
2) 안티 바이러스 소프트웨어를 설치, 중국 / 중국 다운로드 및 설치 생산
3) 등을 알 수없는 메일, 모바일 애플리케이션, 온라인 사기 로그인 양식을 ... 받기
프로그램 / 도구를 다운로드하지 않는 많은 사람들이 첫 번째 개념없는
그것은 오도하기 쉽다.
네트워크 유도 / 루어 (인조 미끼) 사람들 Zhanxiaopianyi 심리학의 다양한 형태의 많은.,
VIP 카드 / 해적 점 / 게임 내에서 게임을 해결했다 사이트에 유혹 리드를 넣어 ... 캠벨를 찾습니다
이들은 사기 악성 웹 사이트의 탄생, 당신은 정말에만 속임수 트릭.
당신이 게임 카드를 원하는 더 걱정, 당신은 교차 사이트에서 그 시도에서 더 많은 일이 일 것이다.
그래서, 온라인으로 물건을 먼저인지의이
오 가서 탐닉해서는 안됩니다!
진짜 바로 그런 낮은 수준의 행동을 잠그지 않습니다 "만자 해커".
물건을 부수 / 대중 직접 다운로드 줄
돈을 위해 작품을 발표하지
이 감정을 공유하는 온 나의 슈퍼 아이돌 {대만]에서도.
감사합니다 MelodyRO 감사 ~
-------------------------------------------------- ------------------------------------
Dice lo siguiente ---
Correcciones OpenSSL ocultos durante 16 años la vulnerabilidad "intermediario"
http://www.enet.com.cn/security/ 2014 年 06 月 06 日
Fuente: TechWeb
Ayer por la noche, el equipo de OpenSSL lanzado cinco nuevos parches de seguridad,
Se utiliza para reparar siete vulnerabilidades de alto riesgo
¿Qué número CVE-2014 0224 vulnerabilidades han estado al acecho desde hace 16 años,
La vulnerabilidad podría llevar a un "intermediario" OpenSSL cifrado interceptado Web Iniciar contraseñas,
Email Importante datos, chats, etc.
Introdujo ataque a la red 360 y los laboratorios de defensa, porque no hay público el código de explotación,
OpenSSL ha publicado parches y oportuna,
Amenaza real de esta ola de vulnerabilidades será inferior al "corazón sangrante".
Convocatorias de sitios web,
Los cinco parches de seguridad publicados equipo OpenSSL
Las principales correcciones CVE-2014-0224, CVE-2014-0221,
CVE-2014-0195, CVE-2010-5298,
CVE-2014-0198, CVE-2014-3470, CVE-2014-0076 de siete agujeros,
La participación de más de versiones de OpenSSL.
Entre ellos, el número CVE-2014-0195 de la vulnerabilidad en OpenSSL -
- Se puede llevar a la ejecución remota de código arbitrario hackers, un gran daño;
Número de la vulnerabilidad CVE-2014-0224 está al acecho 16 años vacío legal "intermediario".
Aprovechar esta vulnerabilidad, un pirata informático puede lanzar OpenSSL tráfico cifrado a través de un decrypt "intermediario"
El contenido del tráfico intercepción directa.
Sin embargo, sólo cuando existen las vulnerabilidades de servidor y cliente,
Se comunican entre sí y son hacker puede descifrar el contenido del tráfico de espionaje.
Con el fin de eliminar los riesgos de seguridad,
360 recuerda los principales sitios relacionados con la versión de OpenSSL actualizar tan pronto como sea posible.
Debido a que con el lanzamiento de los parches, los hackers de parches que estudiarán hazañas que hacen herramientas,
Aquellos que no lo hagan sitio parches oportuna en riesgo. (BEIJING Canal TI
Adjunto: vulnerabilidades de OpenSSL y fija la información más reciente -
Los intermediarios engañan (MITM) vulnerabilidades
Afectando el cliente (versión completa) y el servidor (1.0.1 y 1.0.2-beta1).
Sugerencias:
Por favor, actualice a 0.9.8za.
Por favor, actualice a 1.0.0m.
Por favor, actualice a 1.0.1h.
Vulnerabilidad de Denegación de Servicio, un atacante puede enviar una maliciosos paquetes handshake DTLS, dando lugar a la denegación de servicio.
Sugerencias:
Por favor, actualice al usuario
Los usuarios actualicen a 1.0.0m.
Los usuarios actualicen a 1.0.1h.
Vulnerabilidad de ejecución de código arbitrario, un atacante puede enviar una maliciosos fragmetns DTLS al cliente OpenSSL DTLS o servidor, será capaz de cliente vulnerable o causa servidor de ejecución de código arbitrario.
Sugerencias:
Por favor, actualice al usuario
Los usuarios actualicen a 1.0.0m.
Los usuarios actualicen a 1.0.1h.
Vulnerabilidad de denegación de servicio, la función do_ssl3_write () permite a los usuarios remotos a través de una referencia de puntero nulo, esta vulnerabilidad sólo afecta a OpenSSL 1.0.0 y 1.0.1 cuando SSL_MODE_RELEASE_BUFFERS entorno abierto (opción no predeterminada).
Propuesta
Los usuarios actualicen a 1.0.0m.
Los usuarios actualicen a 1.0.1h.
Inyección de sesiones y Vulnerabilidad de Denegación de Servicio, un atacante usando ssl3_read_bytes función de la competencia pueden inyectar datos o hacer que la negación del servidor de servicio entre las sesiones.
Esta vulnerabilidad sólo afecta a las aplicaciones de subprocesos múltiples usando OpenSSL1.0.0 y 1.0.1, que SSL_MODE_RELEASE_BUFFERS está habilitado (no es común, no es el valor predeterminado).
Vulnerabilidad de denegación de servicio cuando los clientes OpenSSL TLS para permitir anónimo suite de cifrado ECDH puede dar lugar a un ataque de denegación de servicio.
Propuesta
Por favor, actualice al usuario
Los usuarios actualicen a 1.0.0m.
Los usuarios actualicen a 1.0.1h.
OpenSSL ECDSA vulnerabilidades cifrado problema, OpenSSL 1.0.0l y versiones anteriores de escalera de Montgomery para lograr las vulnerabilidades de seguridad durante la vulnerabilidad deriva de curva elíptica digitales errores algoritmo de firma (ECDSA) pulgadas atacantes remotos pueden ENJUAGUE + RELOAD Cache ataques de canal lateral se aprovechan de la vulnerabilidad Obtenga ECDSA valores aleatorios.
Sugerencias:
Los usuarios actualicen a OpenSSL 1.0.1g.
-------------------------------------------------- --------------------------------------
http://melodytoyssexy.blogspot.com/2014/06/usauktwptfdzsouth-of_6.htm
**En primer lugar, China este -> 360 software anti-virus de la conciencia necesaria.
Porque además de sus usuarios en su mayoría en el continente
Otros países en los que el software fue disuadido de visitar.
En uno se ha mencionado software antivirus de China,
Incluso enlace de terceros para descargar el nudo que acompaña viene
Pero muchos son programas difíciles de virus de software rogue Chan oscura
Entraron en el muy largo período de latencia de ordenador / sistema va a durar.
OpenSSL preocupa como una investigación exhaustiva, esta forma de invasión de los virus puede ser Diversificación de.
China continental no es un software anti-virus real, como Alemania, Rusia, el Reino Unido y Corea del Sur
En el resto del mundo también tiene un programa para resolver / herramientas
El más importante es quitar cualquier virus de software / herramientas
No debe poseer un tercero accesorios de herramientas
Así que el equipo con el fin de sentirse a gusto para descargar
El contacto con la familia de los virus mencionados
Antes de que se infectaron:
1) Descarga el software del juego sobre China
2) Instale el software anti-virus, China produjo / China Descarga e instala
3) Recepción de correo desconocida, aplicaciones móviles, en línea formulario de inicio de sesión de fraude, etc ...
Así que muchas personas no descargar programas / herramientas no son el primer concepto
Es fácil ser engañado.
La red mucho en las diversas formas de la psicología gente inducción / señuelo Zhanxiaopianyi.,
Deja tus plomo señuelo a un sitio que se ha resuelto el juego interior la tarjeta VIP / Raiders puntos / partido ... buscar Campbell
Estos nacen de la web de pícaro engaño, que realmente sólo truco para engañar a él.
El más ansioso que quiere una tarjeta de juego, habrá más días en su intento en el lugar de paso.
También lo han hecho ninguna de las cosas en línea primero cognición,
No debe permitirse ir Oh!
Real "hacker esvástica que" simplemente no bloquear con este tipo de comportamiento de bajo nivel.
Crack a lo / dar la descarga directa del público
No publicado obras por su dinero
Esto es también de mi súper ídolo {Taiwan] donde los sentimientos llegan a compartir.
Sinceramente MelodyRO Acción de Gracias ~
-------------------------------------------------- -------------------------------
Lautet wie folgt ---
OpenSSL-Fixes für 16 Jahre versteckt "Zwischenhändler" Vulnerability
http://www.enet.com.cn/security/ 2014 年 06 月 06 日
Quelle: TechWeb
Letzte Nacht, OpenSSL-Team veröffentlicht fünf neue Sicherheits-Patches,
Wird verwendet, um zu reparieren sieben Hochrisiko-Schwachstellen
Welche Nummer CVE-2014-0224 Schwachstellen lauern wurde für 16 Jahre,
Die Sicherheitsanfälligkeit kann zu einem "Zwischenhändler" OpenSSL-Verschlüsselung abgefangen Website Login-Passwörter zu führen,
Wichtige Daten per E-Mail, Chats, und so weiter.
Er führte 360 Netzwerk Angriff und Verteidigung Labors, weil es keine öffentlichen Exploit-Code,
OpenSSL hat Patches veröffentlicht und zeitnahe,
Reale Bedrohung diese Welle der Schwachstellen wird niedriger sein als "blutendes Herz."
Offizielle Website Ankündigungen,
Die fünf Sicherheits-Patches veröffentlicht OpenSSL-Team
Die wichtigsten Fehlerbehebungen CVE-2014-0224, CVE-2014-0221,
CVE-2014-0195, CVE-2010-5298,
CVE-2014-0198, CVE-2014-3470, CVE-2014-0076 sieben Löcher,
Mit mehr als OpenSSL-Versionen.
Unter ihnen ist die Zahl CVE-2014-0195 Schwachstelle in OpenSSL -
- Kann auf Remote-Ausführung von beliebigem Code Hacker, großen Schaden führen;
Nummer CVE-2014-0224 Schwachstelle lauert 16 Jahre "Zwischenhändler" Schlupfloch.
Sicherheitsanfälligkeit auszunutzen, kann ein Hacker starten OpenSSL verschlüsselte Datenverkehr über einen "Zwischenhändler" entschlüsseln
Direktabhörverkehr Inhalt.
Allerdings nur, wenn die Server-und Client-Schwachstellen vorhanden sind,
Kommunizieren miteinander und sind Hacker kann Abhören Verkehrs Inhalt zu entschlüsseln.
Um Sicherheitsrisiken zu beseitigen,
360 erinnert großen Websites, um OpenSSL-Version aktualisieren so schnell wie möglich zusammen.
Denn mit der Veröffentlichung der Patch, Patch-Hacker, die Exploits Herstellung von Werkzeugen studieren werden,
Diejenigen, die nicht rechtzeitig Patching Website unter Risiko. (BEIJING IT-Channel
Beigefügt: OpenSSL-Schwachstellen und behebt die neuesten Informationen -
Zwischenhändler betrügen (MITM) Sicherheitslücken
Auswirkungen auf die Client (Vollversion) und Server (1.0.1 und 1.0.2-Beta1).
Vorschläge:
Bitte aktualisieren Sie 0.9.8za.
Bitte aktualisieren Sie 1.0.0m.
Bitte aktualisieren Sie 1.0.1h.
Denial-of-Service-Schwachstelle kann ein Angreifer eine schädliche DTLS Handshake-Pakete zu senden, was zu Denial-of-Service.
Vorschläge:
Bitte aktualisieren Sie auf den Benutzer
Benutzer aktualisieren, um 1.0.0m.
Benutzer aktualisieren, um 1.0.1h.
Beliebige Codeausführung ermöglichen, kann ein Angreifer eine schädliche DTLS fragmetns OpenSSL DTLS Client oder-Server zu senden, wird in der Lage sein anfälligen Client-oder Server-Ursache Ausführung beliebigen Codes.
Vorschläge:
Bitte aktualisieren Sie auf den Benutzer
Benutzer aktualisieren, um 1.0.0m.
Benutzer aktualisieren, um 1.0.1h.
Denial-of-Service-Schwachstelle ermöglicht do_ssl3_write ()-Funktion Remote-Benutzer über eine Null-Pointer-Referenz, nur diese Sicherheitslücke betrifft OpenSSL 1.0.0 und 1.0.1, wenn SSL_MODE_RELEASE_BUFFERS offenen Umgebung (Nicht-Standard-Option).
Vorschlag
Benutzer aktualisieren, um 1.0.0m.
Benutzer aktualisieren, um 1.0.1h.
Session Injektion & Denial of Service-Schwachstelle kann ein Angreifer mit ssl3_read_bytes Funktion des Wettbewerbs können die Daten zu injizieren oder machen den Server Denial-of-Service zwischen den Sessions.
Diese Sicherheitsanfälligkeit betrifft nur Multi-Thread-Anwendungen mit OpenSSL1.0.0 und 1.0.1, die SSL_MODE_RELEASE_BUFFERS aktiviert ist (nicht üblich, ist nicht die Standardeinstellung).
Denial-of-Service-Schwachstelle, wenn OpenSSL TLS-Clients anonym ECDH Cipher-Suite zu ermöglichen, in einer Denial-of-Service-Angriff führen.
Vorschlag
Bitte aktualisieren Sie auf den Benutzer
Benutzer aktualisieren, um 1.0.0m.
Benutzer aktualisieren, um 1.0.1h.
OpenSSL-Verschlüsselung ECDSA Problem Schwachstellen, OpenSSL 1.0.0l und früheren Versionen von Montgomery-Leiter Sicherheitslücken während der Schwachstelle zu erreichen stammt von Elliptic Curve Digital Signature Algorithm Fehler (ECDSA) in. Angreifer können SPÜLEN + RELOAD Cache Seitenkanalangriffe auszunutzen Holen ECDSA Zufallswerte.
Vorschläge:
Benutzer aktualisieren, um OpenSSL 1.0.1g.
-------------------------------------------------- --------------------------------------
http://melodytoyssexy.blogspot.com/2014/06/usauktwptfdzsouth-of_6.htm
**Erstens, China in diesem -> 360 Anti-Virus-Software notwendige Bewusstsein.
Denn neben seinen Nutzern vor allem auf dem Festland
Andere Länder, in denen die Software von einem Besuch abgehalten.
Auf der einen hat Chinas Anti-Virus-Software erwähnt,
Auch Drittanbieter-Link zum Download der zugehörigen Knoten kommen
Aber viele sind schwer Chan obskuren Rogue-Software Viren-Programme
Sie traten in der Computer / System wirklich lange Latenzzeit dauern wird.
OpenSSL Sorgen als gründlich, kann diese Form der Diversifizierung der eindringende Viren sein.
Mainland China ist nicht eine echte Anti-Virus-Software, wie zB Deutschland, Russland, Großbritannien und Südkorea
Im Rest der Welt hat auch ein Programm auf / tools lösen
Das wichtigste ist, alle Viren-Software / Tools entfernen
Darf nicht besitzen ein Anbaugeräte von Drittanbietern
So wird Ihr Computer, um sich wohl zu fühlen zum Download
Der Kontakt mit der Familie von den genannten Viren
Bevor sie infiziert:
1) Laden Sie das Spiel Software über China
2) Installieren Sie Anti-Viren-Software, produziert China / China Herunterladen und installieren
3) Empfangs unbekannt Mail, mobile Apps, Online-Betrug Login-Formular ... etc.
So viele Menschen, nicht für Programme / Tools herunterladen sind nicht das erste Konzept
Es ist leicht, in die Irre geführt werden.
Das Netzwerk eine Menge in verschiedenen Formen der Induktion / locken Menschen Zhanxiaopianyi Psychologie.,
Legen Sie Ihre locken führen zu einer Website, die das Spiel in der VIP-Card / Raiders Punkte / Spiel gelöst hat ... suchen nach Campbell
Diese werden der Täuschung Schurken Website geboren, die Sie wirklich nur Trick, um es zu betrügen.
Die mehr Angst Sie eine Spielkarte wollen, müssen Sie mehrere Tage in seinem Versuch an der Kreuzung Ort sein.
So haben einem der Online-Sachen erste Erkenntnis,
Sollte nicht gönnen gehen Oh!
Real "Hakenkreuz-Hacker, die" einfach nicht mit solchen Low-Level-Verhalten zu sperren.
Knacken Sie etwas / geben der Öffentlichkeit direkten Download
Nicht für Geld veröffentlichten Werke
Dies ist auch aus meiner Super-Idol {Taiwan], wo Gefühle kommen zu teilen.
Mit freundlichen Grüßen MelodyRO Danksagung ~
-------------------------------------------------- -------------------------------------------------
Изложить в следующей редакции ---
OpenSSL исправления скрыта в течение 16 лет "посредников" уязвимости
http://www.enet.com.cn/security/ 2014 年 06 月 06 日
Источник: TechWeb
Вчера вечером, OpenSSL команда выпустила пять новых патчей безопасности,
Используется для ремонта семь уязвимостей высокой степени риска
Какое число CVE-2014-0224 уязвимости были скрываться в течение 16 лет,
Эта уязвимость может привести к "посредников" OpenSSL шифрования перехватили на сайт Логин паролей,
Важно данные электронной почты, чаты и так далее.
Он представил 360 сетевую атаку и оборону лабораторий, потому что нет никакого общественного код эксплойта,
OpenSSL выпустила патчи и своевременно,
Реальная угроза эта волна уязвимостей будет ниже, чем "Bleeding Heart".
Официальные объявления сайт,
Пять патчи безопасности выпущен OpenSSL команду
Основные исправления CVE-2014-0224, CVE-2014-0221,
CVE-2014-0195, CVE-2010-5298,
CVE-2014-0198, CVE-2014-3470, CVE-2014-0076 семь отверстий,
Привлечение более OpenSSL версии.
Среди них, число CVE-2014-0195 Уязвимость в OpenSSL -
- Может привести к удаленному выполнению произвольного кода хакеров, большой вред;
Количество CVE-2014-0224 Уязвимость скрывается 16-летний "посредников" лазейку.
Воспользоваться этой уязвимостью, злоумышленник может запустить OpenSSL зашифрованный трафик через "посредников" Расшифровать
Прямая содержимое трафика перехват.
Тем не менее, только тогда, когда существуют серверные и клиентские уязвимости,
Общаться друг с другом и являются хакер может расшифровать содержание подслушивания трафика.
Для того, чтобы устранить угрозы безопасности,
360 напоминает основные места, связанные с OpenSSL версии обновления как можно скорее.
Потому что с выпуском патча, патч-хакеров, которые будут учиться подвиги изготовления орудий,
Те, кто не своевременное сайт внесения исправлений в опасности. (ПЕКИН ИТ-канала
Приложение: OpenSSL уязвимости и исправляет самую свежую информацию -
Посредники обмануть (MITM) уязвимости
Влияющие на клиента (полная версия) и сервер (1.0.1 и 1.0.2-beta1).
Предложения:
Пожалуйста, обновите в 0.9.8za.
Пожалуйста, обновите в 1.0.0m.
Пожалуйста, обновите в 1.0.1h.
Уязвимость отказа в обслуживании, злоумышленник может подарить вредоносных DTLS рукопожатие пакеты, в результате чего к отказу в обслуживании.
Предложения:
Пожалуйста, обновите для пользователя
Пользователи обновление до 1.0.0m.
Пользователи обновление до 1.0.1h.
Произвольное уязвимость выполнение кода, злоумышленник может подарить вредоносных DTLS fragmetns в OpenSSL DTLS клиента или сервера, смогут уязвимой клиента или сервера вызывают выполнению произвольного кода.
Предложения:
Пожалуйста, обновите для пользователя
Пользователи обновление до 1.0.0m.
Пользователи обновление до 1.0.1h.
Уязвимость отказа в обслуживании, функция do_ssl3_write () позволяет удаленным пользователям через ссылку нулевого указателя, эта уязвимость затрагивает только OpenSSL 1.0.0 и 1.0.1, когда SSL_MODE_RELEASE_BUFFERS открытая среда (опция не по умолчанию).
Предложение
Пользователи обновление до 1.0.0m.
Пользователи обновление до 1.0.1h.
Впрыска сессии и уязвимость отказа в обслуживании, злоумышленник с помощью ssl3_read_bytes функцию конкуренции может внедрить данные или сделать сервера отказ в обслуживании в период между сессиями.
Этой уязвимости подвержены только многопоточных приложений с помощью OpenSSL1.0.0 и 1.0.1, которые SSL_MODE_RELEASE_BUFFERS включена (не часто, не значение по умолчанию).
Отказ в обслуживании уязвимости, когда клиенты OpenSSL TLS разрешить анонимный ECDH шифров может привести к отказу в обслуживании нападения.
Предложение
Пожалуйста, обновите для пользователя
Пользователи обновление до 1.0.0m.
Пользователи обновление до 1.0.1h.
OpenSSL ECDSA уязвимости шифрования проблема, OpenSSL 1.0.0l и более ранние версии Монтгомери лестницы для достижения уязвимости в системе безопасности во время уязвимости связано с эллиптической кривой цифровых ошибок Подпись алгоритм (ECDSA) дюйма Удаленный взломщик может флеш + ПЕРЕЗАГРУЗКА Cache атаки побочные каналы использовать уязвимость Получить ECDSA случайные значения.
Предложения:
Пользователи обновление до OpenSSL 1.0.1g.
-------------------------------------------------- --------------------------------------
Во-первых, Китай в этом -> 360 антивирусное программное обеспечение необходимо осознание.
Потому что в дополнение к своим пользователям в основном в материковом
Другие страны, где программное обеспечение было удержать от посещения.
На одной упомянул антивирусное программное обеспечение в Китае,
Даже сторонних ссылку на скачивание сопровождающий узел приходят
Но многие из них сложные, антивирусное программное обеспечение программы Чан неясным изгоев
Они вошли компьютер / система действительно долго латентный период будет длиться.
OpenSSL беспокоит, как тщательно, эта форма вторжения вирусов может быть Диверсификация.
Материковый Китай не является реальным антивирусное ПО, таких как Германия, Россия, Великобритания и Южная Корея
В остальной части мира также имеет программу для решения / инструменты
Самое главное, чтобы удалить любые вирус программного обеспечения / инструменты
Не должен владеть вложения инструментов сторонних
Так что ваш компьютер для того, чтобы чувствовать себя свободно, чтобы скачать
Контакт с семьей со стороны вирусов, упомянутых
Прежде, чем они заражены:
1) Скачать игры программное обеспечение над Китаем
2) Установите антивирусное программное обеспечение, Китай произвел / Китай Загрузите и установите
3) Получение неизвестный почты, мобильных приложений, интернет-форму мошенничества входа ... и т.д.
Так много людей не загружать программы / инструменты не первая концепция
Легко быть введены в заблуждение.
Сеть много в различных формах индукции / заманить людей Zhanxiaopianyi психологии.,
Положите вашу Приманка привести на сайт, который решил игру внутри VIP Card / Raiders точек / игры ... искать Кэмпбелл
Они рождаются из обмана изгоев сайте, вы действительно только обмануть обмануть его.
Если вы обеспокоены вы хотите игровой карты, вы будете более дней в своей попытке на месте пересечения.
Так что любой из онлайн вещи в первую очередь познания,
Не следует предаваться пойти О!
Реал "свастика хакер, который" просто не блокируется с таким поведением низкого уровня.
Crack вещь / дать общественности Прямая загрузка
Не опубликованных работ за деньги
Это также от моего супер идола {Тайвань], где чувства приходят, чтобы поделиться.
С уважением MelodyRO благодарения ~
http://melodytoyssexy.blogspot.com/2014/06/usauktwptfdzsouth-of_6.htm
-------------------------------------------------- -------------------------------------------------
次のように読み込みます---
16年「仲介者」の脆弱性のための隠されたOpenSSLの修正
http://www.enet.com.cn/security/ 2014年06月06日
出典:TechWeb
昨夜、OpenSSLのチームは、5新しいセキュリティパッチをリリース
7リスクの高い脆弱性を修復するために使用
番号CVE-2014から0224の脆弱性は、16年間潜んされている
脆弱性は、「仲介」OpenSSLの暗号傍受ウェブサイトのログインパスワードにつながる可能性
重要なデータの電子メール、チャット、などなど。
エクスプロイトコードをパブリックがないので、それは、360のネットワーク攻撃と防御の研究室を紹介し、
OpenSSLは、タイムリーなパッチをリリースしています
本当の脅威は、脆弱性の波はより低くなる「心出血。 "
公式サイトの発表、
5セキュリティパッチは、OpenSSLチームをリリース
主な修正CVE-2014-0224、CVE-2014-0221、
CVE-2014-0195、CVE-2010-5298、
CVE-2014-0198、CVE-2014-3470、CVE-2014-0076 7ホール、
OpenSSLのバージョンよりも多くを含む。
その中でも、数CVE-2014-0195は、OpenSSLの脆弱性 -
- 任意のコードがハッカーのリモート実行、大きな損害につながることができ;
番号CVE-2014-0224の脆弱性は16年の「仲介」抜け穴を潜んでいる。
脆弱性を悪用する、ハッカーは、OpenSSLが「仲介」解読を介してトラフィックを暗号化し起動することができます
直接の傍受トラフィックコンテンツ。
しかし、場合にのみ、サーバとクライアントの脆弱性が存在し、
相互に通信し、ハッカーが盗聴トラフィックの内容を復号化することができるである。
安全上の危険を排除するために、
360は、OpenSSLのバージョン、できるだけ早くアップグレードに関連する主要なサイトを連想させる。
そのためのツールを作るの悪用を検討するパッチ、パッチハッカーのリリースに伴い、
リスクのあるタイムリーなパッチ適用部位にそうでない人。 (北京のITチャンネル
添付:OpenSSLの脆弱性および修正プログラムの最新情報 -
仲買人は(MITM)の脆弱性をカンニング
クライアント(フルバージョン)とサーバ(1.0.1および1.0.2-β1)に影響を与える。
提案:
0.9.8zaに更新してください。
1.0.0mに更新してください。
1.0.1hに更新してください。
サービス拒否の脆弱性は、攻撃者はサービス拒否で、その結果、悪質なDTLSハンドシェイク·パケットを送信することができます。
提案:
利用者に更新してください
ユーザーは1.0.0mに更新します。
ユーザーは1.0.1hに更新します。
任意のコードが実行される脆弱性は、攻撃者が脆弱なクライアントやサーバの原因、任意のコードが実行されることができるようになり、OpenSSLのDTLSクライアントまたはサーバに悪意のDTLSのfragmetnsを送信することができます。
提案:
利用者に更新してください
ユーザーは1.0.0mに更新します。
ユーザーは1.0.1hに更新します。
サービス拒否の脆弱性、do_ssl3_write()関数は、ヌルポインタ参照を経由して、リモートユーザを可能にし、この脆弱性は、OpenSSLの1.0.0および1.0.1際SSL_MODE_RELEASE_BUFFERSオープンな環境(非デフォルトのオプション)に影響を与える。
提案
ユーザーは1.0.0mに更新します。
ユーザーは1.0.1hに更新します。
サービスの脆弱性のセッション注入&拒否、競争のssl3_read_bytes機能を利用して攻撃者は、データを挿入またはセッションの間のサービスのサーバ·拒否を行うことができます。
この脆弱性は、SSL_MODE_RELEASE_BUFFERSが(一般的ではない、デフォルト設定はありません)有効になっている、OpenSSL1.0.0および1.0.1を使用したマルチスレッド·アプリケーションに影響を与えます。
OpenSSLのTLSクライアントが匿名ECDH暗号スイートを有効にするには、サービス拒否の脆弱性は、サービス拒否攻撃を引き起こすことがあります。
提案
利用者に更新してください
ユーザーは1.0.0mに更新します。
ユーザーは1.0.1hに更新します。
OpenSSLのECDSA問題の暗号化の脆弱性、OpenSSLの1.0.0lおよび脆弱性の間にセキュリティの脆弱性を達成するためのモンゴメリ·ラダーの以前のバージョン25.40楕円曲線デジタル署名アルゴリズムエラー(ECDSA)に由来し、リモートの攻撃者は、+ RELOADキャッシュサイドチャネル攻撃は、脆弱性を悪用フラッシュすることができますECDSAランダムな値を取得します。
提案:
ユーザーには、OpenSSL 1.0.1gに更新します。
-------------------------------------------------- --------------------------------------
http://melodytoyssexy.blogspot.com/2014/06/usauktwptfdzsouth-of_6.htm
**第一に、中国は、この - > 360アンチウイルスソフトウェアに必要な意識。
そのため、主に中国本土での利用者に加えて、
ソフトウェアが訪れてから思いとどまったその他の国。
1中国のアンチウイルスソフトウェアに言及しており、
添付結び目が来るダウンロードすることさえも、サードパーティのリンク
しかし、多くは難しいチャン無名の不正なソフトウェアのウイルスプログラムである
彼らは、コンピュータ/システム本当に長い潜伏期間が続く入った。
OpenSSLは徹底したように心配し、ウイルス侵入のこの形式は、多様化することができます。
中国本土では、ドイツ、ロシア、イギリス、韓国などの実のウイルス対策ソフトではない
その他の地域でも/ツールを解くプログラムを持っている
最も重要なのは、任意のウイルス対策ソフトウェア/ツールを削除することです
サードパーティ製のツールの添付ファイルを所有していなければなりません
だからあなたのコンピュータダウンロードするには楽に感じるために、
前述のウイルスによる家族との接触
彼らは感染前に:
1)中国全土のゲームソフトをダウンロードしてください
2)ウイルス対策ソフトウェアをインストールし、中国は、中国はダウンロードしてインストール/生産
3)などが知られていないメール、携帯アプリ、オンライン詐欺のログインフォームを...受け取る
プログラム/ツールをダウンロードしないので、多くの人々は、最初のコンセプトではありません
それは誤解されやすい。
ネットワーク誘導/ルアーの人々Zhanxiaopianyi心理学の様々な形でたくさん。、
VIPカード/レイダースポイント/ゲームの中にゲームを解決したサイトにルアーリードを入れて···キャンベルを探す
これらは偽り不正なウェブサイトの生まれて、あなたは本当にそれだけをカンニングするトリック。
あなたはゲームカードが欲しいご心配には、交差サイトでその試みで、それ以上の日数になります。
だから、オンラインのもの最初の認知のいずれかを持っている
ああ行かふけるべきではありません!
まさにこのような低レベルの動作をロックしていない本当の "卍ハッカー」。
事をクラック/公共の直接ダウンロードを与える
お金のために作品を公開されていません
これは感情があう私のスーパーアイドル{台湾]からでもある。
心からMelodyRO感謝祭〜
-------------------------------------------------- -----------------------------------------------
Legu kiel sekvas ---
OpenSSL fiksa kaŝita por 16 jaroj "Middleman" Vulnerabilidad
http://www.enet.com.cn/security/ 2014 年 06 月 06 日
Source: TechWeb
Hieraŭ nokte, OpenSSL teamo liberigis kvin novaj sekureco flikaĵoj,
Uzata por ripari sep alta risko vulnerabilidades
Kiun numeron CVE-2014-0224 vulnerabilidades estis insidas por 16 jaroj,
La vundebleco povus konduki al "Middleman" OpenSSL ĉifrado interkaptis retejo ensaluto pasvortoj,
Gravaj datumoj retpoŝto, babilejoj, kaj tiel plu.
Ĝi enkondukis 360 reto atako kaj defendo laboratorioj, cxar ekzistas neniu publika ekspluati kodo,
OpenSSL liberigis flikaĵoj kaj oportuna,
Reala minaco ĉi ondo da vulnerabilidades estos pli malaltaj ol "sanganta koro."
Oficiala retejo de anoncoj,
La kvin sekureco flikaĵoj liberigis OpenSSL teamo
La ĉefa fiksa CVE-2014-0224, CVE-2014-0221,
CVE-2014-0195, CVE-2010-5298,
CVE-2014-0198, CVE-2014-3470, CVE-2014-0076 sep truoj,
Engaĝante pli ol OpenSSL versioj.
Inter ili, la nombro CVE-2014-0195 vundebleco en OpenSSL -
- Ĉu konduki al fora ekzekuto de arbitra kodo kodumuloj, grandan damaĝon;
Numero CVE-2014-0224 vundebleco estas insidas 16 jaroj "Middleman" fenestreto.
Ekspluati la vundebleco, hacker povas lanĉi OpenSSL ĉifrita trafikon tra "Middleman" malĉifri
Rekta interkapti trafiko enhavo.
Tamen, nur kiam la servilo kaj kliento vulnerabilidades ekzisti,
Komuniki kun la aliaj kaj estas hacker povas malĉifri aŭskultas trafiko enhavo.
Por forigi sekureco danĝeroj,
360 memorigas grandaj ejoj rilataj al OpenSSL versio ĝisdatigi tiel frue kiel eble.
Ĉar kun la liberigo de la makulo, makulo hackers kiu studos heroaĵoj fari iloj,
Kiuj ne ĝustatempa parchear ejo en risko. (Pekino IT Kanalo
Kuna: OpenSSL vulnerabilidades kaj fiksas la lastan informon -
Intermediarios cheat (MITM) vulnerabilidades
Tuŝante la kliento (plena versio) kaj servilo (1.0.1 kaj 1.0.2-beta1).
Sugestoj:
Bonvolu aktualigi al 0.9.8za.
Bonvolu aktualigi al 1.0.0m.
Bonvolu aktualigi al 1.0.1h.
Neado de servado vundebleco, atakanto povas sendi malican DTLS manpremo pakojn, rezultanta en neado de la servo.
Sugestoj:
Bonvolu aktualigi al la uzanto
Uzantoj aktualigi al 1.0.0m.
Uzantoj aktualigi al 1.0.1h.
Arbitran kodo ekzekuto vundebleco, atakanto povas sendi malican DTLS fragmetns al OpenSSL DTLS kliento aŭ servilo, povos vundebla kliento aŭ servilo kaŭzas arbitrajn kodo ekzekuto.
Sugestoj:
Bonvolu aktualigi al la uzanto
Uzantoj aktualigi al 1.0.0m.
Uzantoj aktualigi al 1.0.1h.
Neado de servado vundebleco, do_ssl3_write () funkcio permesas foraj uzantoj tra null montrilon aludo, ĉi vundebleco nur efikas OpenSSL 1.0.0 kaj 1.0.1 kiam SSL_MODE_RELEASE_BUFFERS malferma medio (ne-defaŭltan opcion).
Propono
Uzantoj aktualigi al 1.0.0m.
Uzantoj aktualigi al 1.0.1h.
Sesio injekto & Neado de servado vundebleco, atakanto uzante ssl3_read_bytes funkcio de konkurenco povas injekti datumojn aŭ fari la servilo neado de servo inter kunsidoj.
Ĉi vundebleco nur efikas mult-threaded aplikoj uzante OpenSSL1.0.0 kaj 1.0.1, kiu SSL_MODE_RELEASE_BUFFERS estas ebligita (ne komunaj, ne estas la persilenta agordo).
Neado de servado vundebleco kiam OpenSSL TLS klientoj ebligi anonima ECDH ĉifra suito povas rezulti en neado de servado atako.
Propono
Bonvolu aktualigi al la uzanto
Uzantoj aktualigi al 1.0.0m.
Uzantoj aktualigi al 1.0.1h.
OpenSSL ECDSA problemo ĉifrado vulnerabilidades, OpenSSL 1.0.0l kaj pli fruaj versioj de Montgomery ŝtupetaron por atingi sekurecon vulnerabilidades dum la vundebleco tigoj el Elipsa Kurba Cifereca Signuma Algoritmo eraroj (ECDSA) in Remote atakantoj povas flush + Reŝarĝi Cache flanko-kanalo atakoj ekspluati la vundebleco Akiru ECDSA hazarda valoroj.
Sugestoj:
Uzantoj aktualigi al OpenSSL 1.0.1g.
-------------------------------------------------- ------------------------
http://melodytoyssexy.blogspot.com/2014/06/usauktwptfdzsouth-of_6.htm
**Unue, Ĉinio ĉi -> 360 antivirus programaro necesaj konscion.
Ĉar krom siajn anojn precipe en la kontinenta
Aliaj landoj, kie la programaro estis deadmonis viziti.
Sur unu menciis Ĉinio antivirus programaro,
Eĉ triaj ligilo por elŝuti la akompananta noda venis
Sed multaj estas malfacile Chan obskuraj fripono programaro viruso programoj
Ili eniris la komputilon / sistemo vere longa latenta periodo daŭros.
OpenSSL maltrankviligas kiel funda, tiu formo de invadaj virusoj povas esti Diversificación de.
Ĉeftero de Ĉinio ne estas reala antivirus programaro, kiel Germanio, Rusio, Britio kaj Sud-Koreio
En la resto de la mondo ankaŭ havas programon solvi / iloj
La plej grava estas por forigi ajnan viruso programaron / iloj
Ne devas posedi triaj ilo ligiteco
Do via komputilo por sentas trankvilon por elŝuti
La kontakto kun la familio de la virusoj menciita
Antaŭ ili infektis:
1) Elŝutu la ludon programaro super Ĉinio
2) Instali antivirus programaro, Ĉinio produktitaj / Ĉinio Elŝutu kaj instalu
3) Ricevante nekonata poŝto, mobile apps, enreta fraŭdo ensaluto formo ... ktp
Do multaj homoj ne elŝuti programoj / ilojn ne estas la unua koncepto
Ĝi estas facila por esti trompita.
La reto multe en diversaj formoj de indukto / logoj homoj Zhanxiaopianyi psikologio.,
Metu vian logilo plumbo al loko kiu solvis la ludo ene de la VIP Card / Raiders punktoj / ludo ... serĉi Campbell
Ĉi tiuj estas naskita de trompo fripono retejo, vi vere nur trompi trompi lin.
Ju pli maltrankvila vi volas ludo karto, vi estos pli tagojn en lia provo ĉe la kruciĝo ejo.
Do havi iu el la reta stuff unua ekkono,
Ne devas indulgi iri Ho!
Reala "swastika hacker kiu" nur ne ŝlosi kun tia malalta nivelo konduto.
Fendi afero / donu la publika rekta download
Ne eldonitaj verkoj por mono
Tio estas ankaŭ mia super idolo {Tajvano] kie sentoj venas dividi.
Sincere MelodyRO Thanksgiving ~
-------------------------------------------------- -------------------------------------------------
**USA/UK/TW/PT(FDZ)/South of Koren/SP/DE/RU/JP/....International lauguage**--
- ** This network from China issued a series of articles - "OpenSSL fix hidden for 16 years" middleman "loophole ** - Indicates the number of patches for vulnerabilities, but learned not to issue a patch of mainland Chinese users before Useful family never been threatened in the Mainland, the Mainland and the 360 anti-virus software will be reminded that there will be related vulnerabilities are exploited by hackers ...??!! -
--**這個來自中國網絡發出一編文章--"OpenSSL修復潛伏16年“中間人”漏洞**-- 表示對系統漏洞的一些補丁,.但據悉中國內地未對用家發出補丁前,未曾有用家在內地受到威脅,而該個360內地防毒軟件便提醒的説,將有相關漏洞會被黑客利用...??!!-
- ** Esta rede da China emitiu uma série de artigos - "OpenSSL corrigir escondido por 16 anos" intermediário "brecha ** - Indica o número de patches para vulnerabilidades, mas aprendi a não emitir um patch de usuários chineses do continente antes da família Útil nunca foram ameaçados no Continente, do Continente e do software anti-vírus 360 serão lembrados de que não será relacionado vulnerabilidades são exploradas por hackers ...?! -
- ** 중개인 "허점"OpenSSL을 16 년 동안 숨겨진 수정 "- - ** 중국에서이 네트워크는 일련의 기사 발행 취약점에 대한 패치의 수를 나타냅니다,하지만 가족을위한 유용한 전에 중국 본토 사용자의 패치를 결코 실행하지 않는 배웠다 본토 위협하고, 본토와 360 안티 바이러스 소프트웨어 취약점이 해커에 의해 악용되어이 관련 될 것이라고 생각 나게한다 ...?! -
- ** Esta red de China publicó una serie de artículos - "OpenSSL arreglar oculto durante 16 años" intermediario vacío legal "** - Indica el número de parches para las vulnerabilidades, pero aprendió a no emitir un parche de la parte continental de China a los usuarios antes de que la familia nunca Útil sido amenazados en el continente, el continente y el software anti-virus 360 se les recordará que no estarán relacionados vulnerabilidades son explotadas por los hackers ...??!! -
- ** Dieses Netzwerk aus China gab eine Reihe von Artikeln - "OpenSSL beheben versteckten seit 16 Jahren" Zwischenhändler "Schlupfloch ** - Gibt die Anzahl der Patches für Sicherheitslücken, aber gelernt, nicht ein Stück Festland chinesische Nutzer vor Nützliche Familie nie ausgeben auf dem Festland bedroht wurde, wird dem Festland und der 360 Anti-Virus-Software daran erinnert, dass es bezogen werden Schwachstellen werden von Hackern ausgenutzt werden ...?! -
- ** Эта сеть из Китая выпустил серию статей - "OpenSSL исправить скрытый в течение 16 лет" посредников "лазейку ** - Показывает количество патчей для уязвимостей, но узнал не выдать участок материкового Китая пользователей, прежде чем Полезная семьи никогда угрожали в материковом, материк и антивирусное программное обеспечение 360 будут напоминать, что будет связано уязвимости эксплуатируется хакерами ...?! -
- **中国からのこのネットワークは、一連の記事を発表した - "OpenSSLの16年間隠された修正"仲介者 "抜け穴**は - 脆弱性に対するパッチの数を示しますが、便利な家族の前に本土の中国のユーザーのパッチを発行することはないことは学んだ本土で脅され、本土と360アンチウイルスソフトウェアは、脆弱性がハッカーに悪用されてそこに関連していることを思い出されます···?! -
- ** Tiu reto de Ĉinio publikigis serion da artikoloj - "OpenSSL ripari kaŝitajn dum 16 jaroj" Middleman "fenestreto ** - Indikas la nombron de flikaĵoj por vulnerabilidades, sed lernis ne emanigi flikajxon el ĉeftero ĉinaj uzantoj antaux Utilaj familio neniam estis minacata en la kontinento, la kontinento kaj la 360 antivirus programaro estos memorigis ke tie estos rilataj vulnerabilidades estas ekspluatita per hackers ...??!! -
===MelodyRO===THE END===>/
