Openssl多个漏洞安全预警

2016-05-05 18:05:39

一、概述

在OpenSSL官方昨日(2016/5/3)发布的安全公告中，公开了两个新的高危漏洞CVE-2016-2107和CVE-2016-2108。

CVE-2016-2107 Padding oracle in AES-NI CBC MAC check：恶意人员可以利用漏洞发起中间人攻击，使用padding oracle attack来解密流量；

CVE-2016-2108 Memory corruption in the ASN.1 encoder：在ASN，1编码中存在内存破坏安全漏洞，有可能允许攻击者执行恶意代码（通过畸形的证书）。

二、受影响版本

For CVE-2016-2107:

OpenSSL 1.0.2 < 1.0.2h

OpenSSL 1.0.1 < 1.0.1t

OpenSSL 1.0.0

OpenSSL 0.9.8

For CVE-2016-2108:

OpenSSL 1.0.2 < 1.0.2c

OpenSSL 1.0.1 < 1.0.1o

OpenSSL 1.0.0

OpenSSL 0.9.8

三、建议

将 openssl 升级到以下版本可修复漏洞：

For CVE-2016-2107：

OpenSSL 1.0.2 users should upgrade to 1.0.2h

OpenSSL 1.0.1 users should upgrade to 1.0.1t

For CVE-2016-2108：

OpenSSL 1.0.2 users should upgrade to 1.0.2c

OpenSSL 1.0.1 users should upgrade to 1.0.1o

注意：

1. 升级前请做好测试。

2. OpenSSL官方已停止对 0.9.8和 1.0.0 两个版本的升级维护，请使用这两个版本的用户将其升级至1.0.2h版本。

1、查看源版本

[root@zj ~]# openssl version -a

OpenSSL 1.0.1e

2、下载openssl-1.0.2h.tar.gz

wget https://www.openssl.org/source/openssl-1.0.2h.tar.gz

3、更新zlib

yum install -y zlib

4、解压安装

tar zxf openssl-1.0.2h.tar.gz

cd openssl-1.0.2h

./config shared zlib

make

make install

mv /usr/bin/openssl /usr/bin/openssl.bak

mv /usr/include/openssl /usr/include/openssl.bak

ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

ln -s /usr/local/ssl/include/openssl /usr/include/openssl

echo “/usr/local/ssl/lib” >> /etc/ld.so.conf

ldconfig -v

5、查看是否升级成功

[root@zj ~]# openssl version -a

OpenSSL 1.0.2h  3 May 2016