MIS注意！OpenSSL剛修補了高嚴重性的DoS漏洞

OpenSSL軟體基金會（OpenSSL Software Foundation）上周釋出了OpenSSL  1.1.0e以修補一個允許遠端駭客展開阻斷服務攻擊（DoS）的高嚴重性漏洞。

根據OpenSSL的安全通報，在重新進行握手協商時，倘若先加密再雜湊（Encrypt-Then-Mac）並非在原始握手處展開協商，就可能導致OpenSSL當掉，不論是客戶端或伺服器端都會受到影響。

開放源碼的OpenSSL為啟用SSL或TLS等加密協議的加密函式庫，主要用於確保通訊雙方的身分並避免遭到竊聽。在2014年Heartbleed漏洞被揭露後，讓OpenSSL的安全性更受重視，且估計迄今仍有20萬台伺服器或裝置仍未修補該漏洞。

新的DoS漏洞是由紅帽的Joe Orton所提報，只影響OpenSSL 1.1.0，並未波及OpenSSL 1.0.2。