最近在安装python3 时升级openssl 版本,在摸索openssl 升级过程中才发现centos6 默认安装的openssl 1.0.1e 版本是有一个严重的漏洞的(Padding oracle in AES-NI CBC MAC check (CVE-2016-2107)),建议用openssl 1.0.1e 版本的都升级到新版本1.0.1t 或者1.0.1u,官方源码下载地址为https://www.openssl.org/source/old/

而如果网站有用到https 的就要小心这个漏洞了,所以在此总结了下如何去检测自己的网站是否存在这个漏洞,至于如何升级openssl 可以参考我之前的随笔,centos6/7 下升级openssl并安装python3

1、首先你可以去克隆https://github.com/FiloSottile/CVE-2016-2107 这个项目的代码到本地,

git clone https://github.com/FiloSottile/CVE-2016-2107

然后进入CVE-2016-2107文件夹,执行命令

go run main.go jd.com

这里jd.com 是电商网站京东的域名,因为它就用到了https ,所以我们拿这个域名做测试。

结果是

openssl CVE-2016-2107 漏洞检测-LMLPHP

说明京东已经修复了这个漏洞o(* ̄︶ ̄*)o

2、为了方便我已经把这个go项目已经在本地linux服务器上编译成了二进制文件,你可以直接拿去下载执行,check_CVE-2016-2107.zip如图

openssl CVE-2016-2107 漏洞检测-LMLPHP

我只是为了标识文件用途才把这个二进制名字起得这么长,哈哈。

05-28 17:36