OpenSSL CCS注入漏洞概述

OpenSSL CCS注入漏洞是由于OpenSSL的ChangeCipherSpec設計缺陷導致的，被稱為CCS注入漏洞。攻擊者可以利用此漏洞發(fā)起中間人攻擊，篡改或監(jiān)聽SSL加密傳輸?shù)臄?shù)據。

受影響的OpenSSL版本

受影響的OpenSSL版本包括：

• OpenSSL 1.0.1 through 1.0.1g
• OpenSSL 1.0.0 through 1.0.0l
• all versions before OpenSSL 0.9.8y

未受影響的版本包括：

• OpenSSL 1.0.1h
• OpenSSL 1.0.0m
• OpenSSL 0.9.8za

修復措施

針對Windows環(huán)境下的Apache和Nginx等使用OpenSSL的Web服務器，可以直接下載更新到最新版本的Web服務器來解決此問題。

對于Linux環(huán)境下的Nginx，可以使用ldd nginx命令檢查是否使用了libssl.so和libcrypto.so的庫，如果使用，直接升級OpenSSL即可。如果沒有使用，那么需要重新編譯Nginx。

對于Apache，如果是使用管理方式安裝的，可以直接使用包管理升級OpenSSL。如果是自行編譯安裝的，需要檢查Apache的編譯參數(shù)，看是否指定了自己的OpenSSL目錄。如果沒有指定，也可以直接使用包管理升級OpenSSL。如果是在編譯安裝時使用了自己的OpenSSL目錄而非系統(tǒng)的OpenSSL，那么需要升級對應目錄的OpenSSL或重新編譯Apache。