1.修复的CVE ·CVE-2015-0293 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL的SSLv2实现过程中存在安全漏洞。远程攻击者可借助特制的CLIENT-MASTER-KEY消息利用该漏洞造成拒绝服务（s2_lib.c断言失败和守护进程退出）。以下版本受到影响：OpenSSL 0.9.8zf之前版本，1.0.0r之前1.0.0版本，1.0.1m之前1.0.1版本，1.0.2a之前1.0.2版本。 ·CVE-2015-3194 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1q之前1.0.1版本和1.0.2e之前1.0.2版本的crypto/rsa/rsa_ameth.c文件中存在安全漏洞，该漏洞源于程序没有正确验证使用RSA PSS算法的签名。远程攻击者可利用该漏洞造成拒绝服务（空指针逆向引用和应用程序崩溃）。 ·CVE-2015-3195 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL的crypto/asn1/tasn_dec.c文件中的ASN1_TFLG_COMBINE实现过程中存在安全漏洞，该漏洞源于程序没有正确处理畸形的X509_ATTRIBUTE数据引发的错误。远程攻击者可通过在PKCS＃7或CMS应用程序中触发解码失败利用该漏洞获取进程内存中的敏感信息。以下版本受到影响：OpenSSL 0.9.8zh之前版本，1.0.0t之前1.0.0版本，1.0.1q之前1.0.1版本，1.0.2e之前1.0.2版本。 ·CVE-2015-3196 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL的ssl/s3_clnt.c文件中存在安全漏洞，该漏洞源于程序在multi-threaded客户端使用时，向错误的数据结构体写入PSK身份标记。远程攻击者可借助特制的ServerKeyExchange标记利用该漏洞造成拒绝服务（竞争条件和双重释放）。以下版本受到影响：OpenSSL 1.0.0t之前1.0.0版本，1.0.1p之前1.0.1版本，1.0.2d之前1.0.2版本。 ·CVE-2015-3197 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1r之前1.0.1版本和1.0.2f之前1.0.2版本的ssl/s2_srvr.c文件中存在安全漏洞，该漏洞源于程序没有限制使用已禁用的密码。攻击者可通过在SSLv2流量上执行计算指令利用该漏洞实施中间人攻击，破坏加密保护机制。 ·CVE-2015-7575 描述：Mozilla Firefox和Mozilla Firefox ESR都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Firefox和Firefox ESR中使用的Mozilla NSS中存在安全漏洞，该漏洞源于程序错误地接收TLS 1.2 Handshake Protocol流量中的Server Key Exchange消息中的MD5签名。攻击者可通过实施collision-based伪造攻击利用该漏洞实施中间人攻击，欺骗服务器。以下产品及版本受到影响：Mozilla Firefox 43.0.2之前版本，Firefox ESR 38.5.2之前38.x版本，NSS 3.20.2之前版本。 ·CVE-2016-0702 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.2及之前版本和1.0.1及之前版本中存在安全漏洞，该漏洞源于程序在执行模幂运算时没有考虑cache-bank访问时间。本地攻击者可通过运行特制的应用程序并借助存储体冲突，利用该漏洞实施旁路攻击，发现RSA密钥。 ·CVE-2016-0703 描述：OpenSSL在实现SSL/TLS（SSL，安全套接层协议；TLS，安全传输层协议，用于在两个应用程序通信时间提供保密性和完整性保护。）系列协议过程中，支持多个版本的SSL协议，包括SSLv2、SSLv3等协议。OpenSSL的SSLv2实现过程存在安全漏洞。攻击者可利用编号为CNNVD-201603-001的漏洞发起DROWN攻击，破解采用TLS协议加密的会话数据，利用编号为CNNVD-201603-005的漏洞缩短完成上述攻击的攻击时间。以下版本受到影响：OpenSSL 0.9.8zf之前版本，1.0.0r之前1.0.0版本，1.0.1m之前1.0.1版本，1.0.2a之前1.0.2版本。 ·CVE-2016-0704 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL的SSLv2实现过程中的s2_srvr.c文件中的‘get_client_master_key’函数中的Bleichenbacher oracle保护机制中存在安全漏洞，该漏洞源于程序使用export加密套件时覆盖了错误的MASTER-KEY字节。远程攻击者可利用该漏洞解密TLS加密数据，实施DROWN攻击。以下版本受到影响：OpenSSL 0.9.8zf之前版本，1.0.0r之前1.0.0版本，1.0.1m之前1.0.1版本，1.0.2a之前1.0.2版本。 ·CVE-2016-0705 描述：OpenSSL是Openssl团队的一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1s之前的1.0.1版本和1.0.2g之前的1.0.2版本中的crypto/dsa/dsa_ameth.c文件的‘dsa_priv_decode’函数存在安全漏洞。攻击者可利用该漏洞造成拒绝服务（内存损坏）。 ·CVE-2016-0797 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.2及之前版本和1.0.1及之前版本的‘BN_hex2bn’函数和‘BN_dec2bn’函数中存在整数溢出漏洞。远程攻击者可借助较长的数字字符串利用该漏洞造成拒绝服务（堆内存损坏或空指针逆向引用）。 ·CVE-2016-0799 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.2及之前版本和1.0.1及之前版本的crypto/bio/b_print.c文件中的‘fmtstr’函数中存在安全漏洞，该漏洞源于程序没有正确计算字符串长度。远程攻击者可借助较长的字符串利用该漏洞造成拒绝服务（溢出和越边界读取）。 ·CVE-2016-0800 描述：OpenSSL是Openssl团队的一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1s之前版本和1.0.2g之前1.0.2版本中使用的SSLv2协议存在信息泄露漏洞，攻击者可利用该漏洞通过DROWN攻击方式破解采用TLS协议加密的会话数据。 ·CVE-2016-2105 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1t之前版本和1.0.2h之前1.0.2版本的crypto/evp/encode.c文件中的‘EVP_EncodeUpdate’函数中存在整数溢出漏洞。远程攻击者可借助大量的二进制数据利用该漏洞造成拒绝服务（堆内存损坏）。 ·CVE-2016-2106 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1t之前版本和1.0.2h之前1.0.2版本的crypto/evp/evp_enc.c文件中的‘EVP_EncryptUpdate’函数中存在整数溢出漏洞。远程攻击者可借助大量的数据利用该漏洞造成拒绝服务（堆内存损坏）。 ·CVE-2016-2107 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1t之前版本和1.0.2h之前1.0.2版本的AES-NI实现过程中存在安全漏洞，该漏洞源于程序在进行填充检查时没有考虑内存分配。远程攻击者可通过向AES CBC会话实施padding-oracle攻击利用该漏洞获取敏感的明文信息。（注：该漏洞源于CNNVD-201302-133补丁的不完全修复） ·CVE-2016-2109 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1t之前版本和1.0.2h之前1.0.2版本的ASN.1 BIO实现过程中的crypto/asn1/a_d2i_fp.c文件中的‘asn1_d2i_read_bio’函数存在安全漏洞。远程攻击者可借助较短的无效编码利用该漏洞造成拒绝服务（内存损坏）。 ·CVE-2016-2177 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.2h及之前版本中存在安全漏洞，该漏洞源于程序使用指针运算进行堆缓冲区边界检查。远程攻击者可借助错误的内存分配利用该漏洞造成拒绝服务（整数溢出和应用程序崩溃）。 ·CVE-2016-2178 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL DSA是其中的一个加密算法。OpenSSL的crypto/dsa/dsa_ossl.c文件中的‘dsa_sign_setup’函数中存在安全漏洞，该漏洞源于程序没有正确确保执行constant-time操作。本地攻击者可通过实施边信道攻击利用该漏洞恢复私有的DSA密钥。 ·CVE-2016-2179 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.2h及之前的版本中的DTLS实现过程中存在安全漏洞，该漏洞源于程序没有正确限制队列条目与未使用的out-of-order消息相关联的使用周期。远程攻击者可借助大量特制的DTLS会话利用该漏洞造成拒绝服务（内存损坏）。 ·CVE-2016-2180 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.2h及之前版本中的X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)实现过程中的crypto/ts/ts_lib.c文件中的‘TS_OBJ_print_bio’函数存在安全漏洞。远程攻击者可借助特性的time-stamp文件利用该漏洞造成拒绝服务（越边界读取和应用程序崩溃）。 ·CVE-2016-2181 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.2h及之前的版本中的DTLS实现过程中的Anti-Replay功能存在安全漏洞。远程攻击者可借助伪造的DTLS记录利用该漏洞造成拒绝服务（false-positive分组丢失）。 ·CVE-2016-2182 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.2h及之前的版本中的crypto/bn/bn_print.c文件中的‘BN_bn2dec’函数存在安全漏洞，该漏洞源于程序没有正确验证除法结果。远程攻击者可利用该漏洞造成拒绝服务（越边界写入和应用程序崩溃）。 ·CVE-2016-2842 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1s之前1.0.1版本和1.0.2g之前1.0.2版本的crypto/bio/b_print.c文件中的‘doapr_outch’函数存在安全漏洞，该漏洞源于程序没有验证内存分配是否成功。远程攻击者可借助较长的字符串利用该漏洞造成拒绝服务（越边界写入或内存消耗）。 ·CVE-2016-6302 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.2h及之前的版本中的ssl/t1_lib.c文件中的‘tls_decrypt_ticket’函数存在安全漏洞，该漏洞源于程序验证ticket长度时，没有设置HMAC的大小值。远程攻击者可利用该漏洞造成拒绝服务。 ·CVE-2016-6304 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL中的t1_lib.c文件存在内存泄露漏洞。远程攻击者可借助大的OCSP Status Request扩展利用该漏洞造成拒绝服务（内存损坏）。以下版本受到影响：OpenSSL 1.0.1u之前的版本，1.0.2i之前的1.0.2版本，1.1.0a之前的1.1.0版本。 ·CVE-2016-6306 描述：OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1u之前的版本和1.0.2i之前的1.0.2版本中的证书解析器存在安全漏洞。远程攻击者可借助特制的证书操作利用该漏洞造成拒绝服务（越边界读取）。 ·CVE-2017-3731 描述：OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.1.0版本和1.0.2版本中存在安全漏洞。攻击者可利用该漏洞造成拒绝服务（越边界读取和崩溃）。 ·CVE-2018-0734 描述：OpenSSL是Openssl团队的一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.1.1版本、1.1.0版本至1.1.0i版本和1.0.2版本至1.0.2p版本中的DSA签名算法存在加密问题漏洞。该漏洞源于网络系统或产品未正确使用相关密码算法，导致内容未正确加密、弱加密、明文存储敏感信息等。 ·CVE-2018-5407 描述：在SMT（例如，超线程）体系结构上发现微处理器侧通道漏洞。攻击者在与受害者进程相同的处理器核心上运行恶意进程，可以提取某些机密信息。 ·CVE-2019-1559 描述：OpenSSL是Openssl团队的一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.2至1.0.2q版本中存在信息泄露漏洞。攻击者可利用该漏洞绕过访问限制，获取敏感信息。 2.受影响的软件包 ·中标麒麟高级服务器操作系统 V7 ·aarch64架构: openssl、openssl-devel、openssl-libs、openssl-perl、openssl-static ·x86_64架构: openssl、openssl-devel、openssl-libs、openssl-perl、openssl-static 3.软件包修复版本 ·中标麒麟高级服务器操作系统 V7 (aarch64、x86_64) openssl-1.0.2k-19.el7或以上版本 openssl-devel-1.0.2k-19.el7或以上版本 openssl-libs-1.0.2k-19.el7或以上版本 openssl-perl-1.0.2k-19.el7或以上版本 openssl-static-1.0.2k-19.el7或以上版本 4.修复方法 方法一：配置源进行升级安装 1.打开软件包源配置文件，根据仓库地址进行修改。 仓库源地址： 中标麒麟高级服务器操作系统 V7 aarch64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/ x86_64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/ 2.配置完成后执行更新命令进行升级，命令如下： yum update Packagename 方法二：下载安装包进行升级安装 通过软件包地址下载软件包，使用软件包升级命令根据受影响的软件包 列表进行升级安装, 命令如下： yum install Packagename 3.升级完成后是否需要重启服务或操作系统： CVE-2015-0293:需要重启 openssl 以使漏洞修复生效。 CVE-2015-3194:需要重启 openssl 以使漏洞修复生效。 CVE-2015-3195:需要重启 openssl 以使漏洞修复生效。 CVE-2015-3196:需要重启 openssl 以使漏洞修复生效。 CVE-2015-3197:需要重启 openssl 以使漏洞修复生效。 CVE-2015-7575:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-0702:需要重启 openssl 以使漏洞修复生效。 CVE-2016-0703:需要重启 openssl 以使漏洞修复生效。 CVE-2016-0704:需要重启 openssl 以使漏洞修复生效。 CVE-2016-0705:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-0797:需要重启 openssl 以使漏洞修复生效。 CVE-2016-0799:需要重启 openssl 以使漏洞修复生效。 CVE-2016-0800:需要重启 openssl 以使漏洞修复生效。 CVE-2016-2105:需要重启 openssl 以使漏洞修复生效。 CVE-2016-2106:需要重启 openssl 以使漏洞修复生效。 CVE-2016-2107:需要重启 openssl 以使漏洞修复生效。 CVE-2016-2109:需要重启 openssl 以使漏洞修复生效。 CVE-2016-2177:需要重启 openssl 以使漏洞修复生效。 CVE-2016-2178:需要重启 openssl 以使漏洞修复生效。 CVE-2016-2179:需要重启 openssl 以使漏洞修复生效。 CVE-2016-2180:需要重启 openssl 以使漏洞修复生效。 CVE-2016-2181:需要重启 openssl 以使漏洞修复生效。 CVE-2016-2182:需要重启 openssl 以使漏洞修复生效。 CVE-2016-2842:需要重启 openssl 以使漏洞修复生效。 CVE-2016-6302:需要重启 openssl 以使漏洞修复生效。 CVE-2016-6304:需要重启 openssl 以使漏洞修复生效。 CVE-2016-6306:需要重启 openssl 以使漏洞修复生效。 CVE-2017-3731:需要重启 openssl 以使漏洞修复生效。 CVE-2018-0734:需要重启 openssl 以使漏洞修复生效。 CVE-2018-5407:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2019-1559:需要重启 openssl 以使漏洞修复生效。 5.软件包下载地址 ·中标麒麟高级服务器操作系统 V7 openssl(aarch64)软件包下载地址: https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/openssl-1.0.2k-19.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/openssl-devel-1.0.2k-19.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/openssl-libs-1.0.2k-19.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/openssl-perl-1.0.2k-19.el7.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/openssl-static-1.0.2k-19.el7.aarch64.rpm openssl(x86_64)软件包下载地址: https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/openssl-1.0.2k-19.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/openssl-devel-1.0.2k-19.el7.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/openssl-devel-1.0.2k-19.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/openssl-libs-1.0.2k-19.el7.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/openssl-libs-1.0.2k-19.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/openssl-perl-1.0.2k-19.el7.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/openssl-static-1.0.2k-19.el7.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/openssl-static-1.0.2k-19.el7.x86_64.rpm 注：其他相关依赖包请到相同目录下载 6.修复验证 使用软件包查询命令，查看相关软件包版本是否与修复版本一致，如果版本一致，则说明修复成功。 sudo rpm -qa | grep Packagename