OpenSSL程式庫存在多個漏洞。造成這些漏洞的原因包括”padding oracle”弱點,和當應用程式解析和重新將X.509證書編碼,或驗證RSA簽章的X.509證書時,可能引致記憶體損毀。如果伺服器支援AES-NI及使用了AES CBC加密法,攻擊者可利用”padding oracle”攻擊竊取部分資料或發送特製的X.509證書攻擊漏洞。
成功利用這些漏洞可以執行遠端程式碼、服務受阻斷或洩漏資訊。
有關漏洞已在OpenSSL 1.0.1t 和1.0.2h版本中修復。採用OpenSSL以加密網絡通訊的系統,例如受HTTPS保護的網站或SSL-VPN閘道的用戶須留意有關漏洞及採取必要措施。用戶應聯絡產品供應商以確認是否受有關問題影響。
https://www.openssl.org/news/secadv/20160503.txt
https://www.openssl.org/news/openssl-1.0.1-notes.html
https://www.openssl.org/news/openssl-1.0.2-notes.html
https://www.us-cert.gov/ncas/current-activity/2016/05/03/OpenSSL-Releases-Security-Advisory
https://www.hkcert.org/my_url/zh/alert/16050401
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2105
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2106
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2108
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2109
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2176