OpenSSL CCS注入漏洞概述
OpenSSL CCS注入漏洞是由于OpenSSL的ChangeCipherSpec设计缺陷导致的,被称为CCS注入漏洞。攻击者可以利用此漏洞发起中间人攻击,篡改或监听SSL加密传输的数据。
受影响的OpenSSL版本
受影响的OpenSSL版本包括:
- OpenSSL 1.0.1 through 1.0.1g
- OpenSSL 1.0.0 through 1.0.0l
- all versions before OpenSSL 0.9.8y
未受影响的版本包括:
- OpenSSL 1.0.1h
- OpenSSL 1.0.0m
- OpenSSL 0.9.8za
修复措施
针对Windows环境下的Apache和Nginx等使用OpenSSL的Web服务器,可以直接下载更新到最新版本的Web服务器来解决此问题。
对于Linux环境下的Nginx,可以使用ldd nginx命令检查是否使用了libssl.so和libcrypto.so的库,如果使用,直接升级OpenSSL即可。如果没有使用,那么需要重新编译Nginx。
对于Apache,如果是使用管理方式安装的,可以直接使用包管理升级OpenSSL。如果是自行编译安装的,需要检查Apache的编译参数,看是否指定了自己的OpenSSL目录。如果没有指定,也可以直接使用包管理升级OpenSSL。如果是在编译安装时使用了自己的OpenSSL目录而非系统的OpenSSL,那么需要升级对应目录的OpenSSL或重新编译Apache。
