OpenSSL 多個漏洞

在 OpenSSL 發現多個漏洞。遠端使用者可利用漏洞，於目標系統取得部份敏感資料及令目標系統崩潰。

• 遠端伺服器可為匿名的 DH 加密套件特製一個 ServerKeyExchange， p 的值被更改為0，可能令目標系統崩潰。
• 遠端使用者可利用於 BN_mod_exp() 的傳播漏洞，可於特定情況下取得私密金鑰。
• 遠端使用者可特製一張有特定 ASN 的證書。一個使用 RSA PSS 算法的證書簽名，若不包含 mast generation function parameter，可觸發一個 null pointer dereference，令目標系統崩潰。
• 遠端使用者可提供一個特製偽冒 X509_ATTRIBUTE structure 去觸發記憶體內容洩漏和敏感資料洩漏。
• 遠端使用者可傳送一個 PSK identity hints 去 multi-threaded client 去觸發 race condition 和 double free memory error，令目標系統崩潰。