尊敬的UCloud用户：   
    您好，3月1日OpenSSL.org官方发布一个OpenSSL的高危漏洞（CVE-2016-0800，别名"DROWN"）。该漏洞可能被黑客利用进行中间人攻击，窃取HTTPS加密数据的内容。OpenSSL官方已发布修复方案，建议各位用户关注并尽快升级系统修复漏洞！
    详情请查看官方公告：

    受影响的服务版本：
Apache: 非2.4.x版本
Nginx: 0.7.64、0.8.18及更早版本
Postfix: 早于2.9.14、2.10.8、2.11.6、3.0.2的版本 (2015.07.20之前发布的版本)
Openssl: 1.0.2a、1.0.1m、1.0.0r、0.9.8zf及更早版本

OpenSSL版本检测：
openssl version
若版本低于修复版本请更新openssl

针对web server,可通过如下方法检测：
openssl s_client -connect 待测域名或IP地址:443 -ssl2


漏洞修复方案：
对于已经运行的云服务器，UCLOUD软件源已经提供了修复漏洞的openssl软件包，您可以通过手动更新openssl进行修复。
详细修复方法如下：
1、CentOS版本：
yum clean all & yum makecache
yum -y update openssl

2、Ubuntu\Debian版本：
sudo apt-get update
sudo apt-get install libssl1.0.0


若不想立即进行升级，您可以禁用sslv2协议，操作方法如下：
1）Apache禁用sslv2协议：
在Apache的SSL配置文件中禁用SSLv2协议（建议同时禁用SSLv3），确保SSLProtocol配置项内容如下：
SSLProtocol All -SSLv2 
配置完毕，重启apache服务。

2）Nginx禁用sslv2协议：
修改nginx的SSL配置文件，设置只允许使用TLS协议，确保ssl_protocols配置项内容如下：
ssl_protocols TLSv1 TLSv1.1 TLSv1.2
配置完毕，重启nginx服务

漏洞检测方法：
目前UCloud已提供针对该漏洞的在线检测工具（http://drown.ucloud.cn），您可以通过该工具来验证您的系统是否受影响。



                                                                                                                                                                                                        UCloud云计算团队
                                                                                                                                                                                                        2016年3月7日