弱點通告:OpenSSL 存在安全性弱點,建議請管理者儘速評估更新!
2017/02/23
風險等級: 高度威脅
摘  要:

OpenSSL 存在弱點,可能允許遠端攻擊者利用以進行DoS 攻擊。

目前已知會受到影響的版本 OpenSSL 1.1.0 及更早版本但OpenSSL 1.0.2 不受影響。HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

影響系統: OpenSSL 1.1.0 及更早版本但OpenSSL 1.0.2 不受影響
解決辦法: OpenSSL 1.1.0 版請更新至1.1.0e
細節描述:

OpenSSL 存在弱點,在重新交握過程中如果Encrypt-Then-Mac (傳輸「密文」與「密文的 MAC」) 擴展元件不在原來的交握中,則會導致OpenSSL 服務意外終止(依賴於OpenSSL 密碼套件)。此弱點客戶端與服務端均會受到影響。

HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

參考資訊:

US-CERT
OpenSSL