2008/05/29 OpenSSLに2つの脆弱性 OpenSSLプロジェクトがサービス不能およびバッファオーバフローを引き起こす2つの脆弱性に関するセキュリティアドバイザリ (secadv_20080528)を公表している。一つはTLSのサーバ名拡張データの処理の不具合(CVE-2008-0891)で、server_nameに0x00がセットされたTLS 1.0 Client Helloパケットを受け取るとクラッシュを起こす。もう一つはSSLクライアントの実装の問題でサーバ鍵交換メッセージ(Server Key exchange message)がTLSハンドシェイクで省略されるとNULLポインタ参照を引き起こす(CVE-2008-1672)もので、Anonymous Diffie-Hellman鍵交換を使うと問題。両者とも0.9.8fと0.9.8gに問題があり、0.9.8hで修正されて