OpenSSL修補兩個高嚴重性漏洞

OpenSSL本周釋出了OpenSSL 1.0.1t與OpenSSL 1.0.2h以修補2個高嚴重性及4個低嚴重性安全漏洞。

其中一個高嚴重性漏洞的代號為CVE-2016-2107，屬於「密文填塞」（Padding Oracle）漏洞，藉由傳遞不同填充內容的加密訊息至伺服器進行驗證，並依據回應內容解密。該漏洞出現於伺服器支援AES-NI且採用AES CBC加密連結的狀況下，將允許駭客解密通訊流量。

另一個高嚴重性漏洞則是CVE-2016-2108，為一記憶體毀損漏洞，出現在OpenSSL所使用的ASN.1編碼器中，CVE-2016-2108其實是由兩個低風險的臭蟲所構成，但彼此牽動便會造成嚴重的後果，可允許駭客執行任意程式。

OpenSSL建議OpenSSL 1.0.1與OpenSSL 1.0.2的用戶儘快升級到最新版本。