1. 主頁
  2. 保安警報
  3. 保安警報 (A16-01-09)

保安警報(A16-01-09): OpenSSL 多個漏洞


 

發布日期: 2016年 1月 29日

  
  

描述:

OpenSSL程式庫存在多個漏洞,包括可能產生不安全的質數於Diffie-Hellman協定中使用,這可能會導致洩漏足夠的資訊供攻擊者竊取私有加密鑰。此外,惡意的客戶端可與伺服器交涉使用已被停用的SSLv2協定。


受影響的系統:

  • OpenSSL 1.0.1q, 1.0.2e 和之前的版本
  • 操作系統、網頁伺服器、虛擬私人網絡閘道或採用受影響的OpenSSL程式庫的裝置

 

影響:

成功利用這些漏洞可以洩漏資訊。


建議:

有關漏洞已在OpenSSL 1.0.1r 和1.0.2f版本中修復。採用OpenSSL以加密網絡通訊的系統,例如受HTTPS保護的網站或SSL-VPN閘道的用戶須留意有關漏洞及採取必要措施。用戶應聯絡產品供應商以確認是否受有關問題影響。


OpenSSL Software Foundation已公布將於2016年12月31日後停止支援OpenSSL 1.0.1,不會再提供相關保安更新。而OpenSSL 0.9.8及1.0.0已於2015年12月31日停止支援。用戶應考慮升級至最新版本,或聯絡其產品供應商以取得支援。

進一步資訊:

https://www.openssl.org/news/secadv/20160128.txt
https://www.us-cert.gov/ncas/current-activity/2016/01/28/OpenSSL-Releases-Security-Advisory
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3197
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0701



標籤 : OpenSSL
標籤