> OpenSSL‘MDC2_Update’函数整数溢出漏洞

OpenSSL‘MDC2_Update’函数整数溢出漏洞

CNNVD-ID编号	CNNVD-201609-320	CVE编号	CVE-2016-6303
发布时间	2016-09-18	更新时间	2019-06-18
漏洞类型	缓冲区错误	漏洞来源	The Cisco Product Security Incident Response Team (PSIRT) is not aware of any public announcements or malicious use of the vulnerabilities that are described in this advisory.
危险等级	高危	威胁类型	远程
厂商	nodejs

漏洞介绍

OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。

OpenSSL 1.0.2h及之前的版本中的crypto/mdc2/mdc2dgst.c文件中的‘MDC2_Update’函数存在整数溢出漏洞。远程攻击者可利用该漏洞造成拒绝服务（越边界写入和应用程序崩溃）。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

https://www.openssl.org/

参考网址

来源:tools.cisco.com

链接：http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160927-openssl

来源:www.ibm.com

链接：http://www.ibm.com/support/docview.wss?uid=ibm10887855

受影响实体

Nodejs Node.Js:6.6.0

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201609-320