projects / oweals / openssl.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
prepare for 0.9.8x release
[oweals/openssl.git] / CHANGES
diff --git a/CHANGES b/CHANGES
index e9f6ce042c3e9b334d6b2275ad97545e4f93342d..e914a426ed4c685c3ebcafdc42f638c26caba64a 100644 (file)
--- a/CHANGES
+++ b/CHANGES
@@ -2,6 +2,28 @@
  OpenSSL CHANGES
  _______________
 
+ Changes between 0.9.8w and 0.9.8x [10 May 2012]
+
+  *) Sanity check record length before skipping explicit IV in DTLS
+     to fix DoS attack.
+
+     Thanks to Codenomicon for discovering this issue using Fuzz-o-Matic
+     fuzzing as a service testing platform.
+     (CVE-2012-2333)
+     [Steve Henson]
+
+  *) Initialise tkeylen properly when encrypting CMS messages.
+     Thanks to Solar Designer of Openwall for reporting this issue.
+     [Steve Henson]
+
+ Changes between 0.9.8v and 0.9.8w [23 Apr 2012]
+
+  *) The fix for CVE-2012-2110 did not take into account that the 
+     'len' argument to BUF_MEM_grow and BUF_MEM_grow_clean is an
+     int in OpenSSL 0.9.8, making it still vulnerable. Fix by 
+     rejecting negative len parameter. (CVE-2012-2131)
+     [Tomas Hoger <thoger@redhat.com>]
+
  Changes between 0.9.8u and 0.9.8v [19 Apr 2012]
 
   *) Check for potentially exploitable overflows in asn1_d2i_read_bio
Unnamed repository; edit this file 'description' to name the repository.