1. 主页
  2. 保安警报
  3. 保安警报 (A16-01-09)

保安警报(A16-01-09): OpenSSL 多个漏洞


 

发布日期: 2016年 1月 29日

  
  

描述:

OpenSSL程序库存在多个漏洞,包括可能产生不安全的质数于Diffie-Hellman协议中使用,这可能会导致泄漏足够的信息供攻击者窃取私有加密钥。此外,恶意的客户端可与服务器交涉使用已被停用的SSLv2协议。


受影响的系统:

  • OpenSSL 1.0.1q, 1.0.2e 和之前的版本
  • 操作系统、网页服务器、虚拟私人网络网关或采用受影响的OpenSSL链接库的装置

采用OpenSSH作远程访问的系统如Linux或网络设备也可能受到影响


影响:

成功利用这些漏洞可以泄漏信息。


建议:

有关漏洞已在OpenSSL 1.0.1r 和1.0.2f版本中修复。采用OpenSSL以加密网络通讯的系统,例如受HTTPS保护的网站或SSL-VPN网关的用户须留意有关漏洞及采取必要措施。用户应联络产品供货商以确认是否受有关问题影响。


OpenSSL Software Foundation已公布将于2016年12月31日后停止支持OpenSSL 1.0.1,不会再提供相关保安更新。而OpenSSL 0.9.8及1.0.0已于2015年12月31日停止支持。用户应考虑升级至最新版本,或联络其产品供货商以取得支持。

进一步信息:

https://www.openssl.org/news/secadv/20160128.txt
https://www.us-cert.gov/ncas/current-activity/2016/01/28/OpenSSL-Releases-Security-Advisory
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3197
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0701



标签 : OpenSSL
标签