我正在尝试Qualys SSL Labs test,它告诉我服务器容易受OpenSSL Padding Oracle vulnerability (CVE-2016-2107)攻击。我搜索了如何修复此问题,虽然我的系统上安装的OpenSSL版本(Ubuntu 14.04)应根据此link进行修补,但我仍然遇到此错误。
我尝试升级OpenSSL,但它已经是最新版本了,所以我按照here的说明手动安装了一个较新的版本,这很好,但没有解决任何问题。看看Nginx的信息,它似乎仍然与以前的版本一起运行:
nginx -V
nginx version: nginx/1.10.2
built with OpenSSL 1.0.1f 6 Jan 2014 (running with OpenSSL 1.0.2g-fips 1 Mar 2016)
虽然OpenSSL已经明确更新:
openssl version
OpenSSL 1.0.2j 26 Sep 2016
知道如何解决所有这些问题吗?
注意,是的,我确实重启了Nginx,我甚至试过了sudo service nginx upgrade甚至重新启动了服务器。