UCloud-201609-003: OpenSSL再爆远程命令执行高危漏洞 | U刻
  • UCloud-201609-003: OpenSSL再爆远程命令执行高危漏洞

    栏目:安全资讯
    openssl
    尊敬的UCloud用户:
    OpenSSL官网9月26日再次发布更新,修复了 22日更新包中引入的安全漏洞。其中存在一个远程命令执行高危漏洞,危害严重该严重漏洞只影响OpenSSL 1.1.0a,其他系列版本暂不受影响。请及时确认您使用的版本是否在影响范围之内,并尽快更新。
    影响范围
    OpenSSL 1.1.0a (受CVE-2016-6309 高危漏洞影响)
    OpenSSL 1.0.2i(受CVE-2016-7052 中危漏洞影响)
    修复方案
    1.UEWAF已经可以实现漏洞的攻击防御,申请使用地址:https://ucloud.cn/site/product/uewaf.html
    2.升级OpenSSL到官网发布的最新版本:
        OpenSSL 1.1.0b(修复CVE-2016-6309 高危漏洞)
        OpenSSL 1.0.2j(修复CVE-2016-7052 中危漏洞)
    1)采用官方源码方式安装的用户,建议下载最新版本升级;
    2)UCloud云官方更新的Ubuntu 软件源并不在此次影响范围之内,您可以继续使用。
    3)centos官方最新发布的补丁包不在此次影响范围之内,您可以继续使用。
    若您上次的漏洞还未修复,请参考http://blog.ucloud.cn/archives/1375
    官方发布升级包后UCloud云官方软件源会在第一时间更新并在相应漏洞通告中更新状态,请关注UCloud安全资讯信息。
    漏洞详情
    OpenSSL 22日发布了3个更新版本,修复了众多漏洞,但是近日又被安全研究者爆出其修复版本存在新的安全漏洞。其中OpenSSL 1.1.0a 受到一个高危漏洞影响(CVE-2016-6309),可导致服务器远程命令执行。OpenSSL 1.0.2i受到一个中危漏洞影响(CVE-2016-7052),一定条件下会导致拒绝服务。
    参考链接