今天，CloudFlare（以及互联网上大多数站点）使用的加密库OpenSSL中发布了多个漏洞。有人预先通知说，一个公告即将发布，尽管在这个通知之前，漏洞的内容被严密控制，并且只与主要的操作系统供应商共享。根据我们对漏洞以及CloudFlare如何使用OpenSSL库的分析，这批漏洞主要影响CloudFlare的"拒绝服务"可能性（它可能导致CloudFlare的代理服务器崩溃），而不是信息泄露漏洞。客户流量和客户SSL密钥继续受到保护。作为良好的安全实践，我们已经快速测试了补丁版本，并开始向我们的生产环境推送，在一小时内完成。我们鼓励所有客户在自己的服务器上升级到OpenSSL的最新补丁版本，特别是在他们使用OpenSSL库的1.0.2分支时。本公告中包含的单个漏洞包括：OpenSSL 1.0.2 ClientHello sigalgs DoS（CVE-2015-0291）重新分类：RSA悄然降级为EXPORT峎RSA[客户]（CVE-2015-0204）多块损坏指针（CVE-2015-0290）DTLSv1_listen中的分段错误（CVE-2015-0207）ASN1_类型_cmp中的分段错误（CVE-2015-0286）无效PSS参数分段故障（CVE-2015-0208）ASN.1结构重用内存损坏（CVE-2015-0287）PKCS7空指针引用（CVE-2015-0289）Base64解码（CVE-2015-0292）在SSLv2服务器中通过可访问断言执行DoS（CVE-2015-0293）使用客户端授权和DHE清空CKE（CVE-2015-1787）与非种子PRNG握手（CVE-2015-0285）d2i_ECPrivatekey错误后免费使用（CVE-2015-0209）X509_to_X509_REQ空指针deref（CVE-2015-0288）我们感谢OpenSSL项目和各个漏洞报告者发现、披露和修复这些问题。所有的软件都有bug，有时是安全关键的bug，一旦被识别出来，有一个好的处理过程是计算机软件世界中必不可少的一部分。