來自 Red Hat 安全性公告 2016:1137：

現已提供適用於 Red Hat Enterprise Linux 5 的 openssl 更新。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

OpenSSL 不但是實作「安全通訊端層」(SSL) 和「傳輸層安全性」(TLS) 通訊協定的工具組，還是一套完整的通用密碼編譯程式庫。

安全性修正：

* 在 OpenSSL 編碼特定 ASN.1 資料結構的方式中，發現一個瑕疵。攻擊者可利用此瑕疵建立特製的憑證，當 OpenSSL 驗證或重新編碼時，可造成其損毀，或使用執行針對 OpenSSL 程式庫編譯之應用程式的使用者權限執行任意程式碼。(CVE-2016-2108)

Red Hat 要感謝 OpenSSL 專案報告此問題。上游確認 Huzaifa Sidhpurwala (Red Hat)、Hanno Bock 與 David Benjamin (Google) 是原始報告者。

偵測

Oracle Linux 5：openssl (ELSA-2016-1137)

critical Nessus Plugin ID 91414

版本 2.12