Vulnerabilidade de preenchimento do Oracle OpenSSL (CVE-2016-2107) + Nginx

2

Eu estava tentando o teste Qualys SSL Labs e ele me disse que o servidor é vulnerável a OpenSSL Padding Oracle vulnerability (CVE-2016-2107) . Eu pesquisei sobre como consertar isso, e embora a versão do OpenSSL instalada no meu sistema (Ubuntu 14.04) deva ser corrigida para isso de acordo com isso link Eu ainda estava recebendo este erro.

Eu tentei atualizar o OpenSSL, mas ele já era a versão mais recente, então eu instalei manualmente uma nova versão seguindo as instruções aqui que correu bem, mas isso não resolveu nada . Olhando para as informações do Nginx, parece que ainda funciona com a versão anterior:

nginx -V
nginx version: nginx/1.10.2
built with OpenSSL 1.0.1f 6 Jan 2014 (running with OpenSSL 1.0.2g-fips 1 Mar 2016)

enquanto o OpenSSL foi claramente atualizado:

openssl version
OpenSSL 1.0.2j 26 Sep 2016

Alguma ideia de como resolver tudo isso?

Note que sim, eu reiniciei o Nginx, até tentei sudo service nginx upgrade e até reiniciei o servidor.

    
por Julien 22.01.2017 / 17:34

1 resposta

1

Você precisa criar ngnix com a versão openSSL 1.0.1f

O comando configure pode ter esta aparência:

./configure --with-http_ssl_module --with-openssl=/path/to/openssl 1.0.1f
    
por 23.01.2017 / 21:17