cve-2016-2107的描述
CVE-2016-2107是OpenSSl 密码库的维护人员发布的一个高危安全漏洞,这个漏洞可以让攻击者在web服务器上解密登录证书或者执行恶意代码。该漏洞对于开源加密库的影响可以被用来进行中间人攻击。只要用于连接的是AES CBC密码和支持AES NI的服务器,那么攻击者就可以利用“ Padding Oracle攻击”解密HTTPS通信。
风险等级:
高危
漏洞危害:
这种漏洞很有可能会在实际中被利用来窃取用户数据、凭据、财务和个人信息。
漏洞受影响范围:
据安全公司High-Tech Bridge进行的一项分析显示,Alexa排名前10000的网站中有许多易受到MITM攻击,与1829家顶级网站(占比18.29%)相连的网络和邮件服务器都是脆弱易感的。
受影响版本:
OpenSSL 1.0.2 < 1.0.2h
OpenSSL 1.0.1 < 1.0.1t
OpenSSL 1.0.0
OpenSSL 0.9.8
修复方案:
OpenSSL 1.0.2用户需更新到1.0.2h 。
OpenSSL 1.0.1用户需更新到1.0.1t 。
使用包管理系统的用户可以直接更新到2016年5月3日 之后的版本。
https://www.openssl.org/news/vulnerabilities.html#y2016
登录SSH上操作
wget http://down.wdlinux.cn/in/openssl201605.sh
sh openssl201605.sh
SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密通道。关于更多SSL证书的资讯,请关注GDCA(数安时代)。GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
