今天在运维阿里云服务器的时候,在阿里云安全中心管理控制台发现有一项漏洞风险提示为:RHSA-2018:3221-中危: openssl 安全和BUG修复更新。在详细信息描述中可以看到漏洞涉及到:OpenSSL安全功能绕过漏洞、Libgcrypt _gcry_ecc_ecdsa_sign函数内存缓存侧信道通道攻击漏洞、在 TLS handshake的openssl key agreement拒绝服务漏洞、OpenSSL RSA密钥生成算法缓存侧信道攻击漏洞、OpenSSL拒绝服务漏洞。

开该漏洞风险详情信息后,可以查看到漏洞详情信息以及受影响的ECS服务器实例信息,如下图:

可以从漏洞详情中查看到如下具体信息:

漏洞编号

影响分  

漏洞公告

CVE-2017-3735

5.3

OpenSSL安全功能绕过漏洞

CVE-2018-0495

5.1

Libgcrypt _gcry_ecc_ecdsa_sign函数内存缓存侧信道通道攻击漏洞

CVE-2018-0732

4.3

在 TLS handshake的openssl key agreement拒绝服务漏洞

CVE-2018-0737

3.3

OpenSSL RSA密钥生成算法缓存侧信道攻击漏洞

CVE-2018-0739

6.5

OpenSSL拒绝服务漏洞


在截图中的阿里云漏洞详情下面有列举出受到影响的阿里云ECS服务器实例信息,在实例列表中可通过阿里云官方提供的修复功能进行修复。