بنا بر گزارش منتشر شده در وبسایت رسمی OpenSSL، آسیبپذیری امنیتی (کد آسیبپذیری: CVE-2015-1793) در توابع کتابخانهای مورد استفاده OpenSSL با درجه Critical (بحرانی) کشف شدهاست.
این آسیبپذیری به هکرها اجازه میدهد در وبسایتهای رمزنگاری شده توسط OpenSSl به کمک حملات Man-In-The-Middle attack جعل هویت انجام داده و حتی در شبکههای VPN (شبکه مجازی خصوصی) و سرورهای ایمیل استراق سمق نمایید.
آسیبپذیری مذکور اولین بار توسط دو تن از کارمندان گوگل به نامهای Adam langley و David Benjamin گزارش شدهاست.
رفع آسیبپذیری OpenSSL:
این آسیبپذیری در نسخههای ۱.۰.2c، ۱.۰.2b، ۱.۰.1n و ۱.۰.1o وجود دارد و OpenSSL برای رفع این آسیبپذیری، اعلام کردهاست در اولین فرصت نسخههای OpenSSL 1.0.2b/1.0.2c به نسخه OpenSSL 1.0.2d و نسخههای OpenSSL 1.0.1n/1.0.1o به OpenSSL ۱.۰.1p بهروز رسانی گردد.
جهت دانلود آخرین نسخهی OpenSSL میتوانید به لینک زیر مراجعه نمایید:
https://www.openssl.org/source/
راهنمای بروزرسانی نسخه OpenSSL:
cd /usr/src # wget http://www.openssl.org/source/openssl-1.0.1p.tar.gz # tar -xvzf openssl-1.0.1p.tar.gz # cd openssl-1.0.1p/ #./config -DOPENSSL_NO_HEARTBEATS #make #make test #make install
برای بروزرسانی میتوانید از دستورات زیر نیز استفاده نمایید.
#yum clean all #yum update openssl
توجه داشته باشید که پس از نصب حتما سرور را Reboot نمایید.