OpenSSL程序库存在多个漏洞。造成这些漏洞的原因包括”padding oracle”弱点,和当应用程序解析和重新将X.509证书编码,或验证RSA签章的X.509证书时,可能引致内存损毁。如果服务器支持AES-NI及使用了AES CBC加密法,攻击者可利用”padding oracle”攻击窃取部分数据或发送特制的X.509证书攻击漏洞。
成功利用这些漏洞可以执行远程程序代码、服务受阻断或泄漏信息。
有关漏洞已在OpenSSL 1.0.1t 和1.0.2h版本中修复。采用OpenSSL以加密网络通讯的系统,例如受HTTPS保护的网站或SSL-VPN网关的用户须留意有关漏洞及采取必要措施。用户应联络产品供货商以确认是否受有关问题影响。
https://www.openssl.org/news/secadv/20160503.txt
https://www.openssl.org/news/openssl-1.0.1-notes.html
https://www.openssl.org/news/openssl-1.0.2-notes.html
https://www.us-cert.gov/ncas/current-activity/2016/05/03/OpenSSL-Releases-Security-Advisory
https://www.hkcert.org/my_url/zh/alert/16050401
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2105
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2106
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2108
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2109
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2176