OpenSSL簡介

OpenSSL是一個開放源代碼的軟件庫包，應用程序可以使用這個包來進行安全通信，避免竊聽，同時確認另一端連接者的身份。這個包廣泛被應用在互聯網的網頁服務器上，因此需要注重OpenSSL安全漏洞的修復。

OpenSSL用途

• 加密和解密數據：OPENSSL支持對稱和非對稱加密算法，可以用于安全的數據加密和解密操作。
• 數字簽名：OPENSSL可以對數據進行數字簽名，提高數據的可信度和合法性。還可以驗證數字簽名和證書的有效性。
• SSL/TLS協議實現：OPENSSL支持SSL、TLS等協議，可以用于建立安全的網絡連接，對數據進行加密傳輸，提高網絡的安全性。
• 生成和管理數字證書：OPENSSL可以生成和管理各種類型的數字證書，包括服務器證書、客戶端證書等。數字證書是實現安全通信的重要工具之一。
• 偽隨機數生成器：OPENSSL可以生成高質量的偽隨機數，用于各種密碼算法中的隨機數種子。
• 其他的密碼學工作：除了上述主要用途外，OPENSSL還包括了各種密碼學工具和庫，可以實現密碼算法的實現和分析。

依賴OpenSSL的軟件或協議

• MongoDB 4.4
• Nginx
• KeepAlived
• Https
• OpenSSH
• SSH
• VPN
• 電子郵件

OpenSSL漏洞掃描

您可以參考漏洞掃描最佳實踐進行漏洞掃描。

OpenSSL常見漏洞

• CVE-2016-0705 OpenSSL DSA代碼雙重釋放漏洞

  • 漏洞危害

    OpenSSL 1.0.2及更早版本、1.0.1及更早版本解析畸形DSA密鑰中存在雙重釋放漏洞，可導致受影響應用拒絕服務或內存破壞。

  • 影響版本

    OpenSSL 1.0.2及更早版本
    OpenSSL 1.0.1及更早版本

  • 修復建議

    目前廠商已經發布了升級補丁以修復此安全問題，補丁獲取鏈接：

• CVE-2016-0799 OpenSSL‘BIO_*printf’函數安全漏洞

  • 漏洞危害
    OpenSSL 1.0.2及更早版本、1.0.1及更早版本在BIO_*printf函數的實現上存在內存破壞漏洞，可導致內存泄露等。
  • 影響版本
    OpenSSL 1.0.2及更早版本
    OpenSSL 1.0.1及更早版本
  • 修復建議
    目前廠商已經發布了升級補丁以修復此安全問題，補丁獲取鏈接：

• CVE-2016-2842 OpenSSL doapr_outch函數拒絕服務漏洞

  • 漏洞危害
    OpenSSL 1.0.1 < 1.0.1s、1.0.2 < 1.0.2g版本，crypto/bio/b_print.c/doapr_outch函數未驗證某些內存分配結果，這可使遠程攻擊者造成拒絕服務。
  • 影響版本
    OpenSSL 1.0.1 < 1.0.1s
    OpenSSL 1.0.2 < 1.0.2g
  • 修復建議
    目前廠商已經發布了升級補丁以修復此安全問題，補丁獲取鏈接：

• CVE-2016-2108 OpenSSL ASN.1編碼器內存破壞漏洞

  • 漏洞危害
    OpenSSL中的ASN.1解析器在對數據解析時沒有正確處理特定標簽，當遇到V_ASN1_NEG_INTEGER和V_ASN1_NEG_ENUMERATED標簽時，ASN.1解析器也會將其視作ASN1_ANY類型，從而解析其中的數據。當數據再次編碼序列化時，可能造成數據越界寫入，引起內存損壞。
  • 影響版本
    OpenSSL Project OpenSSL 1.0.2
    OpenSSL Project OpenSSL 1.0.1
  • 不受影響版本
    OpenSSL Project OpenSSL 1.0.2c
    OpenSSL Project OpenSSL 1.0.1o
  • 修復建議
    目前廠商已經發布了升級補丁以修復此安全問題，補丁獲取鏈接：

OpenSSL安全版本

• OpenSSL Project OpenSSL 1.0.1 且>=1.0.1s
• OpenSSL Project OpenSSL 1.0.2 且>=1.0.2g