OpenSSL CVE-2016-0800高危漏洞安全


3月1日OpenSSL.org官方发布一个OpenSSL的高危漏洞(CVE-2016-0800,别名"DROWN")。该漏洞可能被黑客利用进行中间人攻击,窃取HTTPS加密数据的内容。OpenSSL官方已发布修复方案,建议各位用户关注并尽快升级系统修复漏洞!
        详情请查看官方公告:https://www.openssl.org/news/secadv/20160301.txt
        受影响的服务版本:
        Apache: 非2.4.x版本
        Nginx: 0.7.64、0.8.18及更早版本
        Postfix: 早于2.9.14、2.10.8、2.11.6、3.0.2的版本 (2015.07.20之前发布的版本)
        Openssl: 1.0.2a、1.0.1m、1.0.0r、0.9.8zf及更早版本
        OpenSSL版本检测:
        openssl version
        若版本低于修复版本请更新openssl
        针对web server,可通过如下方法检测:

        openssl s_client -connect 待测域名或IP地址:443 -ssl2
        漏洞修复方案:

        对于已经运行的云服务器,UCLOUD软件源已经提供了修复漏洞的openssl软件包,您可以通过手动更新openssl进行修复。
        详细修复方法如下:
        1、CentOS版本:
        yum clean all & yum makecache
        yum -y update openssl
        2、Ubuntu\Debian版本:
        sudo apt-get update
        sudo apt-get install libssl1.0.0
        若不想立即进行升级,您可以禁用sslv2协议,操作方法如下:

        1)Apache禁用sslv2协议:
        在Apache的SSL配置文件中禁用SSLv2协议(建议同时禁用SSLv3),确保SSLProtocol配置项内容如下:
        SSLProtocol All -SSLv2
        配置完毕,重启apache服务。
        2)Nginx禁用sslv2协议:
        修改nginx的SSL配置文件,设置只允许使用TLS协议,确保ssl_protocols配置项内容如下:
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2
        配置完毕,重启nginx服务

0 个评论

要回复文章请先登录注册