在 FreeBSD 10.x/11.x 上更新您的 OpenSSL 以修复漏洞

FreeBSD 包括来自 OpenSSL Project 的用于传输层安全 (TLS) 和安全套接字层 (SSL) 协议的软件。 OpenSSL 在 FreeBSD 上有多个漏洞。 目前,没有可用的解决方法。 您需要在 FreeBSD 版本 10.x 和 11.x 上更新 OpenSSL。

问题描述

来自 OpenSSL 页面

在错误状态下调用 SSL_read()/SSL_write() 会导致数据
无需直接从 SSL/TLS 记录解密/加密即可通过
层。

为了利用此问题,必须存在应用程序错误
导致调用 SSL_read()/SSL_write() 后发出
已经收到一个致命错误。 [CVE-2017-3737]

x86_64 蒙哥马利乘法过程中存在溢出错误
用于 1024 位模的幂运算。 这只影响处理器
支持 AVX2 但不支持 ADX 扩展,如 Intel Haswell(第 4
一代)。 [CVE-2017-3738] 此错误仅影响 FreeBSD 11.x。

影响如下:

错误处理不正确的应用程序可能会不恰当地通过
未加密的数据。 [CVE-2017-3737]

进位传播处理不当会产生不正确的输出,并使其
远程攻击者更容易获取敏感的私钥信息。 不
EC 算法受到影响,分析表明针对 RSA 和
由于此缺陷而导致的 DSA 将非常难以执行,并且不会
相信有可能。

对 DH1024 的攻击被认为是可行的(虽然非常困难)
因为推断有关私钥的信息所需的大部分工作
可以离线进行。 此类项目所需的资源数量
攻击将是非常重要的,并且可能只有有限的人可以访问
攻击者的数量。 然而,要使对 TLS 的攻击有意义,
服务器必须在多个客户端之间共享 DH1024 私钥,
自 CVE-2016-0701 以来,这不再是一个选项。 [CVE-2017-3738]

怎样在 FreeBSD 10.x/11.x 上解决这个问题?

只需运行以下两个命令并重新启动服务器。 首先,找出您当前的 FreeBSD 版本和补丁级别:
$ freebsd-version

示例输出:

11.1-RELEASE-p4

使用 freebsd-update 命令获取并安装 OpenSSL 更新到 FreeBSD 基本系统:
# freebsd-update fetch
# freebsd-update install

示例输出:

重新启动 FreeBSD 服务器/盒子:

# reboot

重新启动后,请确保您获得了更新版本:

% freebsd-version

示例输出:

11.1-RELEASE-p6

您可以使用 pkg 命令更新所有 FreeBSD 软件包
# pkg update && pkg upgrade

有关更多信息,请参阅此 .

相关阅读:

Posted in: Linux