OpenSSL修补两个高严重性漏洞

OpenSSL本周释出了OpenSSL 1.0.1t与OpenSSL 1.0.2h以修补2个高严重性及4个低严重性安全漏洞。

其中一个高严重性漏洞的代号为CVE-2016-2107，属于“密文填塞”（Padding Oracle）漏洞，借由传递不同填充内容的加密讯息至服务器进行验证，并依据回应内容解密。该漏洞出现于服务器支援AES-NI且采用AES CBC加密连结的状况下，将允许骇客解密通讯流量。

另一个高严重性漏洞则是CVE-2016-2108，为一内存毁损漏洞，出现在OpenSSL所使用的ASN.1编码器中，CVE-2016-2108其实是由两个低风险的臭虫所构成，但彼此牵动便会造成严重的后果，可允许骇客执行任意程式。

OpenSSL建议OpenSSL 1.0.1与OpenSSL 1.0.2的用户尽快升级到最新版本。