OpenSSL简介

OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上，因此需要注重OpenSSL安全漏洞的修复。

OpenSSL用途

• 加密和解密数据：OPENSSL支持对称和非对称加密算法，可以用于安全的数据加密和解密操作。
• 数字签名：OPENSSL可以对数据进行数字签名，提高数据的可信度和合法性。还可以验证数字签名和证书的有效性。
• SSL/TLS协议实现：OPENSSL支持SSL、TLS等协议，可以用于建立安全的网络连接，对数据进行加密传输，提高网络的安全性。
• 生成和管理数字证书：OPENSSL可以生成和管理各种类型的数字证书，包括服务器证书、客户端证书等。数字证书是实现安全通信的重要工具之一。
• 伪随机数生成器：OPENSSL可以生成高质量的伪随机数，用于各种密码算法中的随机数种子。
• 其他的密码学工作：除了上述主要用途外，OPENSSL还包括了各种密码学工具和库，可以实现密码算法的实现和分析。

依赖OpenSSL的软件或协议

• MongoDB 4.4
• Nginx
• KeepAlived
• Https
• OpenSSH
• SSH
• VPN
• 电子邮件

OpenSSL漏洞扫描

您可以参考漏洞扫描最佳实践进行漏洞扫描。

OpenSSL常见漏洞

• CVE-2016-0705 OpenSSL DSA代码双重释放漏洞

  • 漏洞危害

    OpenSSL 1.0.2及更早版本、1.0.1及更早版本解析畸形DSA密钥中存在双重释放漏洞，可导致受影响应用拒绝服务或内存破坏。

  • 影响版本

    OpenSSL 1.0.2及更早版本
    OpenSSL 1.0.1及更早版本

  • 修复建议

    目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：http://openssl.org/news/secadv/20160301.txt

• CVE-2016-0799 OpenSSL‘BIO_*printf’函数安全漏洞

  • 漏洞危害
    OpenSSL 1.0.2及更早版本、1.0.1及更早版本在BIO_*printf函数的实现上存在内存破坏漏洞，可导致内存泄露等。
  • 影响版本
    OpenSSL 1.0.2及更早版本
    OpenSSL 1.0.1及更早版本
  • 修复建议
    目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：http://openssl.org/news/secadv/20160301.txt

• CVE-2016-2842 OpenSSL doapr_outch函数拒绝服务漏洞

  • 漏洞危害
    OpenSSL 1.0.1 < 1.0.1s、1.0.2 < 1.0.2g版本，crypto/bio/b_print.c/doapr_outch函数未验证某些内存分配结果，这可使远程攻击者造成拒绝服务。
  • 影响版本
    OpenSSL 1.0.1 < 1.0.1s
    OpenSSL 1.0.2 < 1.0.2g
  • 修复建议
    目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：http://openssl.org/news/secadv/20160301.txt

• CVE-2016-2108 OpenSSL ASN.1编码器内存破坏漏洞

  • 漏洞危害
    OpenSSL中的ASN.1解析器在对数据解析时没有正确处理特定标签，当遇到V_ASN1_NEG_INTEGER和V_ASN1_NEG_ENUMERATED标签时，ASN.1解析器也会将其视作ASN1_ANY类型，从而解析其中的数据。当数据再次编码序列化时，可能造成数据越界写入，引起内存损坏。
  • 影响版本
    OpenSSL Project OpenSSL 1.0.2
    OpenSSL Project OpenSSL 1.0.1
  • 不受影响版本
    OpenSSL Project OpenSSL 1.0.2c
    OpenSSL Project OpenSSL 1.0.1o
  • 修复建议
    目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：https://www.openssl.org/news/secadv/20160503.txt

OpenSSL安全版本

• OpenSSL Project OpenSSL 1.0.1 且>=1.0.1s
• OpenSSL Project OpenSSL 1.0.2 且>=1.0.2g