打破僵局 OpenSSL安全漏洞修补

6月11日，OpenSSL发布了安全补丁，僵局被证明并非是正在酝酿中的灾难，但聪明的服务器管理员仍然希望尽快更新其OpenSSL的程序。这要归功于Linux基金会的核心基础设施倡议（CII）和NCC集团的帮助，终于其安全问题得到了解决。 OpenSSL也许是世界上最重要的与安全套接字层（SSL）和传输层安全（TLS）的支持Web安全库。

另一半打修复，最显著之一是为僵局。从AA问题的Diffie-Hellman密钥交换僵局窜出。的Diffie-Hellman是一种用于SSL和TLS商定一个共享密钥，并创建一个安全的连接流行的算法。从理论上讲，僵局攻击允许一个人在这方面的中间人（MITM）攻击者的网络降级到一个易受攻击的512位出口级暗号脆弱的TLS连接。在实践中，出现一直很少，如果有的话，成功僵局的攻击。

如果你今天更新的OpenSSL，你会不会担心明天的僵局。与此修复程序，OpenSSL的已通过拒绝握手与DH参数短于768位加保护TLS的客户。这个限制将提高到1,024位在将来的版本。在此期间，OpenSSL的1.0.2的用户应升级到1.0.2b和OpenSSL 1.0.1的用户应升级到1.0.1n。

所有这些问题都在Heartbleed或FREAK的水平。仍然，其中大部分可用于导致拒绝服务的攻击。此外，他们中的一个，它可以用来攻击老版本的OpenSSL，可能会导致内存损坏。

这种潜在的内存问题影响较旧版本的OpenSSL 1.0.1，1.0.0和0.9.8。此内存缓冲区命中问题的OpenSSL以下版本：

OpenSSL的0.9.8 DTLS用户应该升级到0.9.8za
OpenSSL的1.0.0 DTLS用户应该升级到1.0.0m
OpenSSL的1.0.1 DTLS用户应该升级到1.0.1h

其他的漏洞，虽然不严重，还是可以引起拒绝服务攻击，因而也应尽快修补。

展望未来，OpenSSL的问题提醒我们，对于OpenSSL的版本1.0.0和0.9.8支持将在2015年12月31日终止，这意味着这些版本将在该日期之后没有任何安全更新的支持。因此，这些过时版本的用户应尽快升级到一个新版的OpenSSL。