发表主题 回复主题
  • 5374阅读
  • 10回复

[公告]OpenSSL漏洞公告

发帖
7525
云币
8256
— 本帖被 xiaofanqie 从 云服务器ECS 移动到本区(2014-07-02) —
尊敬的用户:
      您好,6月5日OpenSSL.org官方发布OpenSSL存在诸多漏洞。这些漏洞可能导致中间人攻击,拒绝服务,任意代码执行,会话注入数据等威胁,严重影响到网站安全。OpenSSL官方已发布修复方案,建议各位阿里用户关注并尽快升级系统修复漏洞!漏洞内容和修复方式如下。详情请查看官方公告:http://www.openssl.org/news/secadv_20140605.txt
漏洞包括:
(1)SSL/TLS MITM漏洞(SSL/TLS MITM vulnerability) (CVE-2014-0224)
(2)DTLS 递归漏洞(recursion flaw) (CVE-2014-0221)
(3)DTLS 无效帧漏洞(invalid fragment vulnerability) (CVE-2014-0195)受影响用户
(4)SSL_MODE_RELEASE_BUFFERS 空指针释放漏洞(NULL pointer dereference) (CVE-2014-0198)
(5)SSL_MODE_RELEASE_BUFFERS 会话注入&拒绝服务漏洞(session injection or denial of service) (CVE-2010-5298)
(6)Anonymous ECDH拒绝服务漏洞( denial of service) (CVE-2014-3470)

解决方案:
OpenSSL 0.9.8 DTLS 用户需要升级到 0.9.8za
OpenSSL 1.0.0 DTLS用户需要升级到 1.0.0m.
OpenSSL 1.0.1 DTLS用户需要升级到 1.0.1h.

阿里云计算
2014年6月9日




[ 此帖被cloud_service在2014-06-12 11:56重新编辑 ]
级别: 科学怪人
发帖
9983
云币
21862

只看该作者 沙发  发表于: 2014-06-09
OpenSSL,国内用的好像不多。
级别: 帮帮团
发帖
635
云币
871
只看该作者 板凳  发表于: 2014-06-09
可以用我的Linux管理大师升级系统的OPENSSL程序
级别: 帮帮团
发帖
686
云币
57
只看该作者 地板  发表于: 2014-06-09
这个系统怎么升级?是不是没有https的就不用考虑升级的问题
级别: 码农
发帖
139
云币
127
只看该作者 4楼 发表于: 2014-06-09
弱弱的问句,yum检测更新,openssl需要更新,那么用yum更新后还会受到影响么
级别: 码农
发帖
139
云币
127
只看该作者 5楼 发表于: 2014-06-09
Updated:
  openssl.x86_64 0:1.0.1e-16.el6_5.14

Dependency Updated:
  openssl-devel.x86_64 0:1.0.1e-16.el6_5.14
  openssl-perl.x86_64 0:1.0.1e-16.el6_5.14
  openssl-static.x86_64 0:1.0.1e-16.el6_5.14
级别: 码农
发帖
139
云币
127
只看该作者 6楼 发表于: 2014-06-09
不管它了,既然建议升级到1.0.1h,就手动编译升级吧
openssl version -a
OpenSSL 1.0.1h 5 Jun 2014
built on: Mon Jun  9 20:54:47 CST 2014
级别: 码农
发帖
195
云币
65
只看该作者 7楼 发表于: 2014-06-12
阿里云的负责态度,先赞扬一下。
级别: 码农
发帖
105
云币
1
只看该作者 8楼 发表于: 2014-06-13
回楼主cloudservice的帖子
阿里云一键安装包安装的服务器要升级吗,如何升级?
级别: 研究猿
发帖
4672
云币
1641
只看该作者 9楼 发表于: 2014-06-19
中间人攻击成功前提:
客户端(即浏览器)也使用openssl作为TSL层加密组件。

但现实是:
浏览器几乎没有使用openssl做为加密组件的。

所以,无视楼主的帖子。洗洗睡吧
级别: 小白
发帖
37
云币
81
只看该作者 10楼 发表于: 2015-03-12
window 系统,XAMPP包中自带的OPENSSL怎么升级?

如果暂时没有用到https 是不是不用升级?
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个