OpenSSL修補兩個高嚴重性漏洞

新釋出的版本修補了兩個重大漏洞,其中一個屬「密文填塞」漏洞,能藉由傳遞不同填充內容的加密訊息至伺服器進行驗證,並依據回應內容解密。另一個重大漏洞屬於記憶體毀損漏洞,出現在OpenSSL所使用的ASN.1編碼器中,可允許駭客執行任意程式。

openssl

OpenSSL本周釋出了OpenSSL 1.0.1t與OpenSSL 1.0.2h以修補2個高嚴重性及4個低嚴重性安全漏洞。

其中一個高嚴重性漏洞的代號為CVE-2016-2107,屬於「密文填塞」(Padding Oracle)漏洞,藉由傳遞不同填充內容的加密訊息至伺服器進行驗證,並依據回應內容解密。該漏洞出現於伺服器支援AES-NI且採用AES CBC加密連結的狀況下,將允許駭客解密通訊流量。

另一個高嚴重性漏洞則是CVE-2016-2108,為一記憶體毀損漏洞,出現在OpenSSL所使用的ASN.1編碼器中,CVE-2016-2108其實是由兩個低風險的臭蟲所構成,但彼此牽動便會造成嚴重的後果,可允許駭客執行任意程式。

OpenSSL建議OpenSSL 1.0.1與OpenSSL 1.0.2的用戶儘快升級到最新版本。

文章來源:http://www.ithome.com.tw/news/105728

圖片來源:https://pixabay.com/

You may also like...

發佈留言