在OpenSSL官方(2016/5/3)发布的安全公告中,公开了新的高危漏洞CVE-2016-2107。虽然此漏洞的利用难度很高,但是一旦在实际中被利用,可以窃取到用户数据、凭据、财务和个人信息。

检测方式

可通过在线检测工具https://www.ssllabs.com/ssltest 输入域名进行检测

修复方案

受影响版本:

  • OpenSSL 1.0.2 < 1.0.2h
  • OpenSSL 1.0.1 < 1.0.1t
  • OpenSSL 1.0.0
  • OpenSSL 0.9.8

将 openssl 升级到以下版本可修复漏洞:

  • OpenSSL 1.0.2用户需更新到1.0.2h 。
  • OpenSSL 1.0.1用户需更新到1.0.1t 。
  • 使用包管理系统的用户可以直接更新到2016年5月3日 之后的版本。

OpenSSL官方已停止对 0.9.8和 1.0.0 两个版本的升级维护,请使用这两个版本的用户将其升级至1.0.2h版本。升级前请做好测试。