当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

漏洞名称:OpenSSL BN_hex2bn/BN_dec2bn空指针间接引用及堆破坏

     发表日期:2016-03-08 16:42:36

漏洞名称:OpenSSL BN_hex2bn/BN_dec2bn空指针间接引用及堆破坏漏洞(CVE-2016-0797)
CVE ID:CVE-2016-0797
受影响系统:
OpenSSL Project OpenSSL < 1.0.2g
OpenSSL Project OpenSSL < 1.0.1s
详细信息:
 
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
 
 
 
OpenSSL 1.0.2及更早版本、1.0.1及更早版本在函数BN_hex2bn/BN_dec2bn的实现上存在安全漏洞,可导致空指针间接引用及堆破坏等问题。
 
 
漏洞来源:
Guido Vranken
解决方案:
临时解决方法:
 
如果不能及时安装补丁,建议采用如下防护措施:
 
 
 
* 禁用SSL 2.0协议。
 
 
 
      
 
  常见WEB服务端禁用方法:
 
 
 
  Apache 2.x:
 
  
 
  在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3:
 
  SSLProtocol All -SSLv2 -SSLv3
 
  重启Apache
 
 
 
  Nginx:
 
  
 
  在配置文件中使用:
 
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 
  重启Nginx
 
 
 
  IIS:
 
  
 
  IIS 7.0 及以上版本默认禁用SSL 2.0。如果手工启用了该支持,则需再将其关闭。
 
  
 
  注意:如果系统中还有其他服务例如SMTP/POP/IMAP等也允许SSL 2.0连接,并且和
 
  WEB服务器使用了同样的私钥,也需要在这些服务中禁用SSL 2.0。
 
厂商补丁:
 
OpenSSL Project
---------------
OpenSSL已经在下列版本中修复了此漏洞:
 
 
 
  OpenSSL 1.01s
 
  OpenSSL 1.02g
 
 
 
请在下列网页下载最新版本:  
 
https://www.openssl.org/source/
 
 
 
目前主流Linux厂商已经提供了相应升级包,请及时升级到最新版本。
 
 
 
Debian:
 
 
 
Debian已经在OpenSSL 1.0.0c-2中禁用了SSL 2.0,因此当前的支持版本并不受此漏洞
 
影响,但由于OpenSSL仍然存在很多其他漏洞,建议升级到当前最新版本。
 
https://www.debian.org/security/2016/dsa-3500
 
 
 
RedHat:
 
 
 
https://access.redhat.com/security/cve/CVE-2016-0800  
 
 
 
Ubuntu:
 
 
 
Ubuntu目前支持版本编译时已经禁用了SSL 2.0,因此不受此问题影响:
 
http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-0800.html
 
但由于OpenSSL仍然存在很多其他漏洞,建议升级到当前最新版本:
 
http://www.ubuntu.com/usn/usn-2914-1/