最新漏洞通报:
Openssl多个漏洞安全预警 2016-05-05 18:05:39 一、概述 在OpenSSL官方昨日(2016/5/3)发布的安全公告中,公开了两个新的高危漏洞CVE-2016-2107和CVE-2016-2108。 CVE-2016-2107 Padding oracle in AES-NI CBC MAC check:恶意人员可以利用漏洞发起中间人攻击,使用padding oracle attack来解密流量; CVE-2016-2108 Memory corruption in the ASN.1 encoder:在ASN,1编码中存在内存破坏安全漏洞,有可能允许攻击者执行恶意代码(通过畸形的证书)。 二、受影响版本 For CVE-2016-2107: OpenSSL 1.0.2 < 1.0.2h OpenSSL 1.0.1 < 1.0.1t OpenSSL 1.0.0 OpenSSL 0.9.8 For CVE-2016-2108: OpenSSL 1.0.2 < 1.0.2c OpenSSL 1.0.1 < 1.0.1o OpenSSL 1.0.0 OpenSSL 0.9.8 三、建议 将 openssl 升级到以下版本可修复漏洞: For CVE-2016-2107: OpenSSL 1.0.2 users should upgrade to 1.0.2h OpenSSL 1.0.1 users should upgrade to 1.0.1t For CVE-2016-2108: OpenSSL 1.0.2 users should upgrade to 1.0.2c OpenSSL 1.0.1 users should upgrade to 1.0.1o 注意: 1. 升级前请做好测试。 2. OpenSSL官方已停止对 0.9.8和 1.0.0 两个版本的升级维护,请使用这两个版本的用户将其升级至1.0.2h版本。
升级openssl环境至openssl-1.0.2h
1、查看源版本
[root@zj ~]# openssl version -a
OpenSSL 1.0.1e
2、下载openssl-1.0.2h.tar.gz
wget https://www.openssl.org/source/openssl-1.0.2h.tar.gz
3、更新zlib
yum install -y zlib
4、解压安装
tar zxf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config shared zlib
make
make install
mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
echo “/usr/local/ssl/lib” >> /etc/ld.so.conf
ldconfig -v
5、查看是否升级成功
[root@zj ~]# openssl version -a
OpenSSL 1.0.2h 3 May 2016