OpenSSL bn_wexpend()函数错误处理远程代码执行漏洞(CVE-2009-3245)

OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。

 

OpenSSL的crypto/bn/bn_div.c、crypto/bn/bn_gf2m.c、crypto/ec/ec2_smpl.c和engines/e_ubsec.c文件有时没有检查bn_wexpand()函数的返回值，能够在该函数中触发内存分配失败的攻击者可以导致使用OpenSSL库的应用崩溃或执行任意代码。

 

 

 

解决方法

厂商补丁：

The OpenSSL Project 

---------  

目前 The OpenSSL Project 已经发布 OpenSSL 最新版本, 请到厂商的官方页面下载最新版本:  

链接：https://www.openssl.org/source/