今天收到腾讯云发来的邮件说是有 OpenSSL 缓冲区溢出漏洞和拒绝服务漏洞,看了一下,主要是 OpenSSL 版本太低,所以解决方法也很简单,就是升级 OpenSSL 版本就可以了。本文做个简单的记录,因为解决方法也是腾讯云给的,大家如果收到这类提醒邮件,直接登录到腾讯云后台就可以看到对应的解决方法。
一、OpenSSL 漏洞介绍
主要有两个漏洞,但是解决方法是差不多的,都是升级 OpenSSL 版本,这两个漏洞描述分别如下。
- 漏洞名称:OpenSSL 缓冲区溢出漏洞(CVE-2021-3711)
- 漏洞标签:-
- 漏洞类型:应用漏洞
- 威胁等级:高危
- CVE编号:CVE-2021-3711
- 披露时间:2021-08-26 00:00:00
- 漏洞描述:OpenSSL发布安全公告,修复了OpenSSL中的一个缓冲区溢出漏洞(CVE-2021-3711)。
该漏洞源于SM2解密代码中EVP_PKEY_decrypt()的边界错误,远程攻击者可通过发送特制的用于解密的SM2内容,触发缓冲区溢出最多62个字节,从而改变进程行为或导致应用崩溃,实现在目标系统上执行任意代码。
第二个漏洞:
- 漏洞名称:OpenSSL 拒绝服务漏洞(CVE-2021-3712)
- 漏洞标签:-
- 漏洞类型:应用漏洞
- 威胁等级:中危
- CVE编号:CVE-2021-3712
- 披露时间:2021-08-26 00:00:00
- 漏洞描述:OpenSSL发布安全公告,修复了OpenSSL中的一个拒绝服务漏洞(CVE-2021-3712)。
该漏洞源于处理与字符串NUL结束的混淆有关的ASN.1字符串时的边界条件,远程攻击者可通过发送特制的数据,触发越界读取错误,从而读取内存内容或执行拒绝服务攻击。
二、OpenSSL 漏洞解决方法
官方已发布安全版本修复漏洞,腾讯安全专家建议受影响的用户请尽快更新至安全版本。
安全版本:OpenSSL 1.1.1l, OpenSSL 1.0.2za 用户可根据所使用的发行版本,升级修复。
Debian 系统用户:
查看OpenSSL版本:dpkg -l openssl
升级OpenSSL版本:sudo apt-get install --only-upgrade openssl
1)buster 版本用户,建议升级到如下版本:1.1.1d-0+deb10u7
2)bullseye 版本用户,建议升级到如下版本:1.1.1k-1+deb11u1
Ubuntu系统用户:
查看OpenSSL版本:dpkg -l openssl
升级OpenSSL版本:sudo apt-get install --only-upgrade openssl
1) Ubuntu 21.04 LTS版本用户,建议升级到如下版本: 1.1.1j-1ubuntu3.5
2) Ubuntu 20.04 LTS版本用户,建议升级到如下版本: 1.1.1f-1ubuntu2.8
3) Ubuntu 18.04 LTS版本用户,建议升级到如下版本: 1.1.1-1ubuntu2.1~18.04.13
4) Ubuntu 16.04 ESM版本用户,建议升级到如下版本:1.0.2g-1ubuntu4.20+esm1
5) Ubuntu 14.04 ESM版本用户,建议升级到如下版本:1.0.1f-1ubuntu2.27+esm3
温馨提示:升级OpenSSL前务必先做好快照备份,以免操作失误导致系统崩溃。
检测到服务器存在漏洞风险,建议立即对相关主机进行快照备份,避免遭受损失。(手动修复后,请重启机器再重新检测)