OpenSSL是一个开源项目,它提供了一个强大的,商业级和全功能的工具包的传输层安全(TLS)和安全套接字层(SSL)协议,也是一个通用的加密库。5月3日,OpenSSL官方发布最新漏洞公告,并发布OpenSSL的最新版本1.0.2h、1.0.1t,此次漏洞公告中共包含了6个安全漏洞修复,其中包含2个高危漏洞。
OpenSSL 在ASN.1结构体解析时存在漏洞可导致内存崩溃,可能被远程利用。应用程序在反序列化恶意的ASN.1结构体后再对其重新序列化时引发漏洞。漏洞触发场景如:应用程序解析并重编码X509证书、校验X509证书RSA签名等。
在服务端支持AES-NI的情况下,攻击者可通过中间人方式破解AES CBC加密的流量,进而窃取用户账号、密码等敏感信息。
建议升级最新的OpenSSL版本,以保障网站服务器安全。
此次漏洞影响1.0.2 和 1.0.1分支版本的用户,对应修复OpenSSL最新版本为 1.0.2h、1.0.1t。
发现OpenSSl的当前版本是1.0.1f,属于受影响版本,对应的修复版本为1.0.1t,于是在上面的OpenSSL官网下载1.0.1t的tgz文件,上传到服务器后完成解压。
进入解压目录,即可开始编译和安装,如果提示make not found,就需要先安装make:
安装完后,再次查看OpenSSL的版本信息,此时发现已经升级到了1.0.1t。