Que é algo normal a descoberta de vulnerabilidade em softwares todos sabemos. Mas o OpenSSL anda pegando pesado né ? Aliás, todas as bibliotecas relacionadas ao SSL andam me dando medo , e bota medo nisto.
Não são vulnerabilidades tal qual o Heartbleed as publicas no site do OpenSSL, mas os potenciais exploits que poderão ser criados a partir das CVEs publicadas podem gerar problemas , ou seja, man-in-the-middle, ataques de negação de serviço e execuções arbitrárias de código.
- SSL/TLS MITM vulnerability (CVE-2014-0224) - DTLS recursion flaw (CVE-2014-0221)
- DTLS invalid fragment vulnerability (CVE-2014-0195)
- SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
- SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
- Anonymous ECDH denial of service (CVE-2014-3470)
Mais informações podem ser encontradas aqui.
Além disto uma rápida olhada no report publicado pelo pessoal do próprio projeto OpenSSL pode clarear mais as coisas.