邮箱 
在线客服 
技术支持 
升级OpenSSL修复最新漏洞
OpenSSL是一个开源项目,它提供了一个强大的,商业级和全功能的工具包的传输层安全(TLS)和安全套接字层(SSL)协议,也是一个通用的加密库。5月3日,OpenSSL官方发布最新漏洞公告,并发布OpenSSL的最新版本1.0.2h、1.0.1t,此次漏洞公告中共包含了6个安全漏洞修复,其中包含2个高危漏洞。
漏洞概述
2个高危漏洞具体如下:
1)CVE-2016-2108
OpenSSL 在ASN.1结构体解析时存在漏洞可导致内存崩溃,可能被远程利用。应用程序在反序列化恶意的ASN.1结构体后再对其重新序列化时引发漏洞。漏洞触发场景如:应用程序解析并重编码X509证书、校验X509证书RSA签名等。
2)CVE-2016-2107
在服务端支持AES-NI的情况下,攻击者可通过中间人方式破解AES CBC加密的流量,进而窃取用户账号、密码等敏感信息。
受影响版本
1.0.1s, 1.0.1r, 1.0.1q, 1.0.1p,1.0.1o, 1.0.1n, 1.0.1m, 1.0.1l, 1.0.1k, 1.0.1j, 1.0.1i, 1.0.1h, 1.0.1g, 1.0.1f,1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.11.0.2g, 1.0.2f, 1.0.2e, 1.0.2d,1.0.2c, 1.0.2b, 1.0.2a, 1.0.2
修复建议
建议升级最新的OpenSSL版本,以保障网站服务器安全。
此次漏洞影响1.0.2 和 1.0.1分支版本的用户,对应修复OpenSSL最新版本为 1.0.2h、1.0.1t。
OpenSSL最新版本1.0.2h、1.0.1t下载:https://www.openssl.org/source/
修复步骤
首先查询网站服务器所使用的OPEN版本信息。
- ubuntu@VM–198–173-ubuntu:~$ openssl version -a
- OpenSSL 1.0.1f 6 Jan 2014
- built on: Mon Feb 29 18:11:15 UTC 2016
发现OpenSSl的当前版本是1.0.1f,属于受影响版本,对应的修复版本为1.0.1t,于是在上面的OpenSSL官网下载1.0.1t的tgz文件,上传到服务器后完成解压。
进入解压目录,即可开始编译和安装,如果提示make not found,就需要先安装make:
- sudo ./config –prefix=/usr –shared
- sudo make
- sudo make test
- sudo make install
安装完后,再次查看OpenSSL的版本信息,此时发现已经升级到了1.0.1t。
- ubuntu@VM–198–173-ubuntu:~/openssl-1.0.1t$ openssl version -a
- OpenSSL 1.0.1t 3 May 2016
- built on: Sat May 7 13:36:49 2016
另附上OpenSSL漏洞公告:https://www.openssl.org/news/vulnerabilities.html#y2016
