RHSA-2019:2471-中危: openssl 安全更新。

RHSA-2019:2471-中危: openssl 安全更新。

今天在运维阿里云服务器的时候，在阿里云安全中心管理控制台发现有一项漏洞风险提示为：RHSA-2019:2471-中危: openssl 安全更新。

漏洞描述

如果应用程序遇到致命的协议错误，然后调用SSL_shutdown()两次（一次发送close_notify，并一次接收一个），则OpenSSL可以对调用应用程序做出不同的响应，如果接收到0字节的记录时，接收到无效的MAC，则OpenSSL会对调用应用程序做出不同的响应。如果应用程序然后基于可检测到远程对等端的方式进行不同的行为，那么这相当于可以用来解密数据的填充Oracle。为了使之成为可利用的"未缝合的"，必须使用加密套件。缝合的加密套件是某些常用的加密套件的最佳实现方式。此外，即使发生了协议错误，应用程序也必须调用SSL_shutdown()两次（应用程序不应该执行此操作，但无论如何也不能执行）。在OpenSSL1.0.2R（受影响的1.0.2-1.0.2q）中已经修复。 
 

点开该漏洞风险详情信息后，可以查看到漏洞详情信息以及受影响的ECS服务器实例信息，如下图：

可以从漏洞详情中查看到如下具体信息：

升级代码：

yum update openssh

yum update openssh-clients

yum update openssh-server

 

关注快乐程序员公众号，每日分享一点小知识。爱编程，爱生活！