<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Apr 7, 2014 at 2:53 PM, Edwin Chu <span dir="ltr"><<a href="mailto:edwincheese@gmail.com" target="_blank">edwincheese@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>Hi</div><div><br></div><div>A latest story for OpenSSL</div>
<div><br></div><div><a href="http://heartbleed.com/" target="_blank">http://heartbleed.com/</a></div><div><br></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px">
<div><div>The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. </div></div><div><br></div></blockquote></div></blockquote><div>rutro...</div><div> </div></div><a href="https://www.openssl.org/news/secadv_20140407.txt">https://www.openssl.org/news/secadv_20140407.txt</a><br>
<pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap">OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <<a href="mailto:agl@chromium.org">agl@chromium.org</a>> and Bodo Moeller <<a href="mailto:bmoeller@acm.org">bmoeller@acm.org</a>> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.</pre><div><br></div>-- <br><div dir="ltr">  T o m    M i t c h e l l</div>
</div></div>