圖片來源: 

OpenSSL

OpenSSL本周釋出了OpenSSL 1.0.1t與OpenSSL 1.0.2h以修補2個高嚴重性及4個低嚴重性安全漏洞。

其中一個高嚴重性漏洞的代號為CVE-2016-2107,屬於「密文填塞」(Padding Oracle)漏洞,藉由傳遞不同填充內容的加密訊息至伺服器進行驗證,並依據回應內容解密。該漏洞出現於伺服器支援AES-NI且採用AES CBC加密連結的狀況下,將允許駭客解密通訊流量。

另一個高嚴重性漏洞則是CVE-2016-2108,為一記憶體毀損漏洞,出現在OpenSSL所使用的ASN.1編碼器中,CVE-2016-2108其實是由兩個低風險的臭蟲所構成,但彼此牽動便會造成嚴重的後果,可允許駭客執行任意程式。

OpenSSL建議OpenSSL 1.0.1與OpenSSL 1.0.2的用戶儘快升級到最新版本。

熱門新聞

Advertisement