來自 Red Hat 安全性公告 2012:0060：

現已提供適用於 Red Hat Enterprise Linux 5 的更新版 openssl 套件，可修正多個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

OpenSSL 不但是實作「安全通訊端層」(SSL v2/v3) 和「傳輸層安全性」(TLS v1) 通訊協定的工具組，還是一套完整的通用密碼編譯程式庫。

據發現，OpenSSL 中的資料包傳輸層安全性 (DTLS) 通訊協定實作會在執行特定作業時，洩漏定時資訊。遠端攻擊者可能會利用此瑕疵，將 DTLS 伺服器作為 Padding Oracle 使用，進而擷取來自加密封包的純文字。(CVE-2011-4108)

在 OpenSSL 的原則檢查程式碼中發現一個重複釋放瑕疵。遠端攻擊者可利用此瑕疵，提供具有特製原則擴充資料的 X.509 憑證，進而損毀 OpenSSL 的應用程式。(CVE-2011-4109)

在 OpenSSL 的 SSL 3.0 通訊協定實作中，發現了資訊洩漏瑕疵。SSL 記錄填補位元組的不正確初始化，會導致 SSL 用戶端或伺服器透過加密的連線傳送限量的潛在敏感資料。(CVE-2011-4576)

據發現，OpenSSL 未為支援 Server Gated Cryptography 而限制所需的 TLS/SSL 交握重新啟動次數。遠端攻擊者可利用此瑕疵連續重新啟動交握，進而讓使用了 OpenSSL 的 TLS/SSL 伺服器消耗過量的 CPU。(CVE-2011-4619)

所有 OpenSSL 使用者皆應升級至這些更新版套件，其中包含可解決這些問題的反向移植修補程式。若要使更新生效，連結到 OpenSSL 程式庫的所有服務都必須重新啟動或讓系統重新開機。

偵測

Oracle Linux 5：openssl (ELSA-2012-0060)

critical Nessus Plugin ID 68438

版本 1.12