OpenSSL 098h가 CVE-2014-0195의 영향을 받는지 알아 내기 위해 시간을 보냈습니다.하지만이 질문에 답하기 위해 전체 파일 d1_both.c을 이해해야합니다.OpenSSL 0.9.8h는 CVE-2014-0195의 영향을 받습니까?
1) 0.9.8h처럼 모든 조각 재 조립 작업이 추가되었으므로 0.9.8h는 위의 CVE에 취약하지 않습니다. 그리고이 패치는 모두 조각 재 조립에 관한 것입니다.
함수 dtls1_reassembly_fragment은() 098h에없는, 그래서 하나는 우리가 괜찮 가정 할 수
2) 그러나 버그에 대한 '단편의 길이에 대해 '단편의 실제 크기를 '확인되지 자세히 살펴보면 쇼 조각의 헤더에 저장 '
나는 코드 흐름을 이해하는 동안 계속 도움이된다.
가 어떻게 098h의 상단에이 취약점에 대한 수정 프로그램을받을 수 있나요 영향을 받습니까? – dpb
무엇이 최신 0.9.8로 업그레이드하지 못하게합니까? 모든 좋은 배포판에는 보안 업데이트가 있어야합니다. – ekcr1
레거시 코드는 래핑 한 후 OpenSSL API를 사용합니다. (포장지가 작성된) 원칙을 고수하면서 OpenSSL 최신 버전으로 전환하는 것은 큰 작업이 될 것입니다. – dpb