Board logo

标题: [发布] openssl又被爆出新漏洞(CVE-2016-2107)(升级脚本) [打印本页]

作者: admin    时间: 2016-5-6 13:38     标题: openssl又被爆出新漏洞(CVE-2016-2107)(升级脚本)

OpenSSl 密码库的维护人员发布了一个高危安全漏洞的补丁(CVE-2016-2107),这个漏洞可以让攻击者在web服务器上解密登录证书或者执行恶意代码。

当连接使用AES CBC加密并且服务器支持AES-NI的情况下,中间人攻击者可以使用padding oracle攻击来解密流量。

填充检测被重写来确保读取的字节总是相同的,并且对MAC和填充字节进行比较。但它不再检查是否有足够的数据来包含MAC和填充字节。

影响:高危

修复方案:

OpenSSL 1.0.2 用户请更新到1.0.2h版本

OpenSSL 1.0.1 用户请更新到1.0.1t版本

https://www.openssl.org/news/vulnerabilities.html#y2016


----------------------------分割线

登录SSH上操作

wget http://down.wdlinux.cn/in/openssl201605.sh

sh openssl201605.sh

如果能顺利执行完成,不出什么错,就升级完了


作者: 新手小白    时间: 2016-5-6 14:05

请问如何确认是否安装了OpenSSl?只是安装了V3.
作者: yuanbiao1986    时间: 2016-5-6 17:31

正在修复,希望修复成功!!
作者: admin    时间: 2016-5-6 18:47

回复 2# 新手小白


   openssl是系统基本的东西,大部分都已自动安装
作者: hkbbdx    时间: 2016-5-7 16:43

QQ图片20160507163842.png
2016-5-7 16:43

我的WDCP是这样,需要升级吗

图片附件: QQ图片20160507163842.png (2016-5-7 16:43, 573 Bytes) / 下载次数 7274
http://wdlinux.cn/bbs/attachment.php?aid=6067&k=ccf12c078d025be0921d92c52092e667&t=1711614650&sid=FcfN0p


作者: fukegdlfm    时间: 2016-5-7 17:20

本帖最后由 fukegdlfm 于 2016-5-7 17:23 编辑

楼上的,咋查到的 ,探针吗
作者: a7yl    时间: 2016-5-7 20:37

wget http://down.wdlinux.cn/in/openssl201605.sh
sh openssl201605.sh  
升级提示OK··重启服务器查询还是 ``啥回事·?
OpenSSL 1.0.1e-fips 11 Feb 2013
作者: a7yl    时间: 2016-5-7 21:39

 升级openssl环境至openssl-1.0.2h

1、查看源版本
[root@zj ~]# openssl version -a
OpenSSL 1.0.1e
2、下载openssl-1.0.2h.tar.gz
wget https://www.openssl.org/source/openssl-1.0.2h.tar.gz
3、更新zlib
yum install -y zlib
4、解压安装
tar zxf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config shared zlib
make
make install
mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
echo “/usr/local/ssl/lib” >> /etc/ld.so.conf
ldconfig -v
5、查看是否升级成功
[root@zj ~]# openssl version -a
OpenSSL 1.0.2h  3 May 2016
作者: loaleung    时间: 2016-5-8 23:54

回复 7# a7yl


   同样。
作者: loaleung    时间: 2016-5-9 00:01

回复 5# hkbbdx


   同问。
作者: loaleung    时间: 2016-5-9 00:24

回复 8# a7yl


    这个方法可行。
作者: mingwd    时间: 2016-5-9 13:49

脚本里面少了个make install
作者: shy_kevin    时间: 2016-5-13 19:44

您好,兄弟.请问下用
  1. wget http://down.wdlinux.cn/in/openssl201605.sh
  2. sh openssl201605.sh
复制代码
以上命令升级后.用openssl version 查询不到版本请问是否代表升级完成!望解答.
作者: 438767161    时间: 2016-5-19 11:39

OpenSSl 密码库的维护人员发布了一个高危安全漏洞的补丁(CVE-2016-2107),这个漏洞可以让攻击者在web服务 ...
admin 发表于 2016-5-6 13:38



   操作完成还是OpenSSL 1.0.1e-fips 11 Feb 2013怎么回事啊
作者: forelong    时间: 2016-5-20 18:38

回复 14# 438767161

同问。
好像最后几步安装出错
作者: waige1986    时间: 2016-5-21 16:45

最新版的是不是已经修正了 漏洞了
作者: ccqz    时间: 2016-5-22 14:50

回复 8# a7yl


   GOOD
作者: 371539835    时间: 2016-5-30 11:26

按照8楼方法成功!
作者: lxliun    时间: 2016-6-5 22:31

回复 8# a7yl


    十分感谢,升级成功
作者: shunyixn    时间: 2016-6-6 16:57

升级失败!
作者: wl10005    时间: 2016-6-17 13:46

回复 8# a7yl

按这个方法成功升级!谢谢了
作者: riddle    时间: 2016-6-22 13:15

回复 8# a7yl

站长的方法没成功,你的方法成功了 。但奇怪的是在phpinfo 里还是显示的 101e呢。
作者: jinhua114    时间: 2016-7-3 18:24

本帖最后由 jinhua114 于 2016-7-3 18:25 编辑
wget http://down.wdlinux.cn/in/openssl201605.sh
sh openssl201605.sh  
升级提示OK··重启服务器查询 ...
a7yl 发表于 2016-5-7 20:37



我也出现同样的问题 还是老版本 要怎样操作啊  我今天安装的anmp_v3.1.tar.gz版本
作者: epai    时间: 2016-7-19 10:58

按照8楼的方法已经升级成功。但是phpinfo里面还是老版本。怎么处理呢?
111.jpg
2016-7-19 10:58



222.jpg
2016-7-19 10:58


图片附件: 111.jpg (2016-7-19 10:58, 4.7 KB) / 下载次数 4821
http://wdlinux.cn/bbs/attachment.php?aid=6451&k=37c1a0f4fc781e922d9625bba579aeeb&t=1711614650&sid=FcfN0p



图片附件: 222.jpg (2016-7-19 10:58, 11.05 KB) / 下载次数 4770
http://wdlinux.cn/bbs/attachment.php?aid=6452&k=099e581191b71ba7e8271ff3847d4d85&t=1711614650&sid=FcfN0p


作者: e2ss    时间: 2016-7-19 22:29

回复  新手小白


   openssl是系统基本的东西,大部分都已自动安装
admin 发表于 2016-5-6 18:47


老大,按你的脚本也是显示这个
    OpenSSL 1.0.1e-fips 11 Feb 2013  
跟贴里几个人都显示这样,请问怎么弄呢
作者: h3hlh18    时间: 2016-7-20 08:20

又该补漏洞了。。。。
作者: epai    时间: 2016-7-20 09:16

顶一下 顶一下 顶一下
作者: jjp    时间: 2016-7-23 20:17

脚本适用于任何linux系统吗?
作者: riddle    时间: 2016-8-12 14:00

按你的脚本也是显示这个
    OpenSSL 1.0.1e-fips 11 Feb 2013  
跟贴里几个人都显示这样,请问怎么弄呢
作者: zshqbc    时间: 2016-9-27 21:02

回复 1# admin


   当前版本: wdcp_v2.5.15(20150826)  不知道这个版本是否已经修正了这个漏洞,谢谢
作者: wenlingnet    时间: 2016-9-28 13:44

本帖最后由 wenlingnet 于 2016-9-28 13:47 编辑

查看下 rpm -q --changelog openssl | grep CVE-2016-2107
是否有返回下面
- fix CVE-2016-2107 - padding oracle in stitched AES-NI CBC-MAC

如果没有
不需要编译源代码,如果是 centos 的 直接更新 yum update openssl

centos 最新的是 1.0.1e-48.el6_8.1 后面 48.el6_8.1.x86_64 修复的版本号吧
作者: yungai    时间: 2016-9-28 20:45

方法已经升级成功。但是phpinfo里面还是老版本。怎么处理呢?
能够回复下原因吗?!!!!!!!!
作者: mnbvcxz    时间: 2016-10-6 21:13

:shutup:555555555555555555555555555555
作者: else    时间: 2016-12-6 15:50

这个是什么时候的bug ?
看日期,好像很早,
没有安装openssl
作者: 3403935    时间: 2017-1-15 00:05

回复 8# a7yl


   升级完毕,谢谢分享!!!:handshake
作者: lanyeit    时间: 2017-5-15 14:26

yum -y install zlib-devel这个也要装一下




欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/) Powered by Discuz! 7.2