AMH 社区首页

AMH社区 - 开放自由有价值的社区

[综合话题] OpenSSL补丁升级导致新漏洞 OpenSSL还需再更新 AMH社区列表
superstar 铁牌会员 8.78 价值分	superstar 发表于 2016-12-21 17:53:01 近期没更新OpenSSL协议的用户需要注意了，本周一OpenSSL紧急释出两个更新补丁，来修补OCSP漏洞。不过更新程序却会衍生出两个新漏洞，而且其中的CVE-2016-6309漏洞之一属于重大漏洞，可能导致不法黑客执行任意程序。据悉，这两个漏洞分别影响OpenSSL的1.1.0a和1.0.2i版本。OpenSSL指出，1.1.0a为了解决CVE-2016-6307的问题带来了新漏洞，但如果所接收的信息大于16kb，用来储存进入信息的缓冲区就会重置并移动。不过，旧区域仍然企图于释出空间写入，因此，很可能会引发宕机并允许执行任意程序。所以，相应用户应尽快更新1.1.0b修补CVE-2016-6309漏洞。另一个CVE-2016-6307只是一个低风险漏洞，最多只会导致服务器宕机，但相关修补程序却带来了可造成恶意攻击的CVE-2016-6309重大漏洞。　　至于1.0.2i的问题则是来自于该版本忘了加入凭证撤销列表（Certificate Revocation List，CRL）完整性检查，因此在1.0.2i中使用CRL时就会出现空指标异常并当掉，此一漏洞编号为CVE-2016-7052，用户可升级至1.0.2j进行修补。升级openssl环境至openssl-1.0.2j 1、查看源版本 [root@dsdsdewrrw]# openssl version -a OpenSSL 1.0.1e 2、下载openssl-1.0.2j.tar.gz wget https://www.openssl.org/source/openssl-1.0.2j.tar.gz 3、更新zlib yum install -y zlib 4、解压安装 tar zxf openssl-1.0.2j.tar.gz cd openssl-1.0.2h ./config shared zlib make make install mv /usr/bin/openssl /usr/bin/openssl.bak mv /usr/include/openssl /usr/include/openssl.bak ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl ln -s /usr/local/ssl/include/openssl /usr/include/openssl echo “/usr/local/ssl/lib” >> /etc/ld.so.conf ldconfig -v 5、查看是否升级成功 [root@dsdsdewrrw]# openssl version -a 仅在centos7.2 64位测试通过其他环境没有试过，请慎用点赞，加油！ (2.78分) 2016-12-21 17:53:01 1

[综合话题] OpenSSL补丁升级导致新漏洞 OpenSSL还需再更新

superstar
铁牌会员
8.78 价值分

superstar 发表于 2016-12-21 17:53:01

近期没更新OpenSSL协议的用户需要注意了，本周一OpenSSL紧急释出两个更新补丁，来修补OCSP漏洞。不过更新程序却会衍生出两个新漏洞，而且其中的CVE-2016-6309漏洞之一属于重大漏洞，可能导致不法黑客执行任意程序。

据悉，这两个漏洞分别影响OpenSSL的1.1.0a和1.0.2i版本。OpenSSL指出，1.1.0a为了解决CVE-2016-6307的问题带来了新漏洞，但如果所接收的信息大于16kb，用来储存进入信息的缓冲区就会重置并移动。不过，旧区域仍然企图于释出空间写入，因此，很可能会引发宕机并允许执行任意程序。所以，相应用户应尽快更新1.1.0b修补CVE-2016-6309漏洞。

另一个CVE-2016-6307只是一个低风险漏洞，最多只会导致服务器宕机，但相关修补程序却带来了可造成恶意攻击的CVE-2016-6309重大漏洞。

　　至于1.0.2i的问题则是来自于该版本忘了加入凭证撤销列表（Certificate Revocation List，CRL）完整性检查，因此在1.0.2i中使用CRL时就会出现空指标异常并当掉，此一漏洞编号为CVE-2016-7052，用户可升级至1.0.2j进行修补。

升级openssl环境至openssl-1.0.2j

1、查看源版本
[root@dsdsdewrrw]# openssl version -a
OpenSSL 1.0.1e
2、下载openssl-1.0.2j.tar.gz
wget https://www.openssl.org/source/openssl-1.0.2j.tar.gz
3、更新zlib
yum install -y zlib
4、解压安装
tar zxf openssl-1.0.2j.tar.gz
cd openssl-1.0.2h
./config shared zlib
make
make install
mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
echo “/usr/local/ssl/lib” >> /etc/ld.so.conf
ldconfig -v
5、查看是否升级成功
[root@dsdsdewrrw]# openssl version -a

仅在centos7.2 64位测试通过其他环境没有试过，请慎用

点赞，加油！ (2.78分)

2016-12-21 17:53:01 1

1 (总1页)

AMH社区列表