OpenSSL CCS注入漏洞概述

OpenSSL CCS注入漏洞是由于OpenSSL的ChangeCipherSpec設(shè)計(jì)缺陷導(dǎo)致的，被稱為CCS注入漏洞。攻擊者可以利用此漏洞發(fā)起中間人攻擊，篡改或監(jiān)聽SSL加密傳輸?shù)臄?shù)據(jù)。

受影響的OpenSSL版本

受影響的OpenSSL版本包括：

• OpenSSL 1.0.1 through 1.0.1g
• OpenSSL 1.0.0 through 1.0.0l
• all versions before OpenSSL 0.9.8y

未受影響的版本包括：

• OpenSSL 1.0.1h
• OpenSSL 1.0.0m
• OpenSSL 0.9.8za

修復(fù)措施

針對(duì)Windows環(huán)境下的Apache和Nginx等使用OpenSSL的Web服務(wù)器，可以直接下載更新到最新版本的Web服務(wù)器來解決此問題。

對(duì)于Linux環(huán)境下的Nginx，可以使用ldd nginx命令檢查是否使用了libssl.so和libcrypto.so的庫，如果使用，直接升級(jí)OpenSSL即可。如果沒有使用，那么需要重新編譯Nginx。

對(duì)于Apache，如果是使用管理方式安裝的，可以直接使用包管理升級(jí)OpenSSL。如果是自行編譯安裝的，需要檢查Apache的編譯參數(shù)，看是否指定了自己的OpenSSL目錄。如果沒有指定，也可以直接使用包管理升級(jí)OpenSSL。如果是在編譯安裝時(shí)使用了自己的OpenSSL目錄而非系統(tǒng)的OpenSSL，那么需要升級(jí)對(duì)應(yīng)目錄的OpenSSL或重新編譯Apache。