OpenSSL高危漏洞安全通告(CVE-2016-2107、CVE-2016-2108) | U刻
  • OpenSSL高危漏洞安全通告(CVE-2016-2107、CVE-2016-2108)

    栏目:安全资讯

    bug

    5月3日OpenSSL.org官方发布6个OpenSSL的安全更新,其中包括2个高危漏洞(CVE-2016-2107、CVE-2016-2108)和4个低危漏洞。

    CVE-2016-2107漏洞由于AES-NI CBC MAC算法对填充数据的校验可以被利用,导致攻击者可以通过中间人攻击解密数据,而CVE-2016-2108则是由于ASN.1解码器存在“negative zero”内存损坏错误导致拒绝服务。OpenSSL官方已发布修复方案,建议各位用户关注并尽快升级系统修复漏洞!

    详情请查看官方公告

    受影响的服务版本:

    1.0.1s, 1.0.1r, 1.0.1q, 1.0.1p,1.0.1o, 1.0.1n, 1.0.1m, 1.0.1l, 1.0.1k, 1.0.1j, 1.0.1i, 1.0.1h, 1.0.1g, 1.0.1f,1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.11.0.2g, 1.0.2f, 1.0.2e, 1.0.2d,1.0.2c, 1.0.2b, 1.0.2a, 1.0.2

    漏洞修复方案:

    1、此次漏洞主要影响1.0.2 和 1.0.1分支版本用户,官方发布的对应修复OpenSSL版本为 1.0.2h、1.0.1t,您可以通过openssl官方下载最新版本1.0.2h、1.0.1t进行修复
    下载地址

    2、UCLOUD软件源已经提供了修复漏洞的openssl软件包,您可以通过手动更新openssl进行修复。

    详细修复方法如下:

    1、CentOS版本:
    yum clean all & yum makecache
    yum -y update openssl
    2、Ubuntu\Debian版本:
    sudo apt-get update
    sudo apt-get install libssl1.0.0

    配置完毕,重启调用443端口的服务或重启443端口服务即可。

    3、UCLOUD提供的镜像也已经修复了该漏洞,默认不受该漏洞影响,您可以放心使用。

    漏洞修复检测方法:

    CentOS系列:
    运行rpm -qa | grep openssl,检查目前版本是否如下修复版本:
    CentOS 7系列:openssl-1.0.1e-51.el7_2.5
    CentOS 6系列:openssl-1.0.1e-48.el6_8.1
    Ubuntu系列:
    运行dpkg -l libssl1.0.0,检查目前版本是否如下修复版本:
    Ubuntu 14.04 LTS:libssl1.0.0 1.0.1f-1ubuntu2.19
    Ubuntu 12.04 LTS:libssl1.0.0 1.0.1-4ubuntu5.36

    如为以上版本,说明不受影响,否则受影响。