近期沒更新OpenSSL協(xié)議的用戶需要注意了，本周一OpenSSL緊急釋出兩個更新補(bǔ)丁，來修補(bǔ)OCSP漏洞。不過更新程序卻會衍生出兩個新漏洞，而且其中的CVE-2016-6309漏洞之一屬于重大漏洞，可能導(dǎo)致不法黑客執(zhí)行任意程序。

 補(bǔ)丁升級導(dǎo)致新漏洞 OpenSSL還需再更新

據(jù)悉，這兩個漏洞分別影響OpenSSL的1.1.0a和1.0.2i版本。OpenSSL指出，1.1.0a為了解決CVE-2016-6307的問題帶來了新漏洞，但如果所接收的信息大于16kb，用來儲存進(jìn)入信息的緩沖區(qū)就會重置并移動。不過，舊區(qū)域仍然企圖于釋出空間寫入，因此，很可能會引發(fā)宕機(jī)并允許執(zhí)行任意程序。所以，相應(yīng)用戶應(yīng)盡快更新1.1.0b修補(bǔ)CVE-2016-6309漏洞。

另一個CVE-2016-6307只是一個低風(fēng)險(xiǎn)漏洞，最多只會導(dǎo)致服務(wù)器宕機(jī)，但相關(guān)修補(bǔ)程序卻帶來了可造成惡意攻擊的CVE-2016-6309重大漏洞。

至于1.0.2i的問題則是來自于該版本忘了加入憑證撤銷列表(Certificate Revocation List，CRL)完整性檢查，因此在1.0.2i中使用CRL時(shí)就會出現(xiàn)空指標(biāo)異常并當(dāng)?shù)簦艘宦┒淳幪枮镃VE-2016-7052，用戶可升級至1.0.2j進(jìn)行修補(bǔ)。