RHSA-2019:2471-中危: openssl 安全更新。

RHSA-2019:2471-中危: openssl 安全更新。

今天在运维阿里云服务器的时候,在阿里云安全中心管理控制台发现有一项漏洞风险提示为:RHSA-2019:2471-中危: openssl 安全更新。

漏洞描述

如果应用程序遇到致命的协议错误,然后调用SSL_shutdown()两次(一次发送close_notify,并一次接收一个),则OpenSSL可以对调用应用程序做出不同的响应,如果接收到0字节的记录时,接收到无效的MAC,则OpenSSL会对调用应用程序做出不同的响应。如果应用程序然后基于可检测到远程对等端的方式进行不同的行为,那么这相当于可以用来解密数据的填充Oracle。为了使之成为可利用的"未缝合的",必须使用加密套件。缝合的加密套件是某些常用的加密套件的最佳实现方式。此外,即使发生了协议错误,应用程序也必须调用SSL_shutdown()两次(应用程序不应该执行此操作,但无论如何也不能执行)。在OpenSSL1.0.2R(受影响的1.0.2-1.0.2q)中已经修复。 
 

点开该漏洞风险详情信息后,可以查看到漏洞详情信息以及受影响的ECS服务器实例信息,如下图:

RHSA-2019:2471-中危: openssl 安全更新。_第1张图片

可以从漏洞详情中查看到如下具体信息:

RHSA-2019:2471-中危: openssl 安全更新。_第2张图片

升级代码:

yum update openssh

yum update openssh-clients

yum update openssh-server

 

关注快乐程序员公众号,每日分享一点小知识。爱编程,爱生活!

你可能感兴趣的:(linux)