OpenSSL新年再現8個漏洞,安恒信息提醒及時升級
責編:admin |2015-01-09 12:34:132015年1月8日,安恒信息從OpenSSL開源項目官網獲知其針對0.98zd、1.0.0p和1.0.1k版本的修復補丁發布了8個安全漏洞的修復方案。其中最嚴重的漏洞被OpenSSL項目組歸類為中等安全威脅,這個漏洞可以用來發動拒絕服務攻擊。其余的六個問題被定義為低安全威脅。
前面提到的中等安全威脅的漏洞是通過一個特定的DTLS消息導致空指針在解引用時OpenSSL發生的段錯誤。這個問題影響到所有當前的OpenSSL版本(0.9.8,1.0.0和1.0.1)并且可能導致拒絕服務攻擊。第二個中等威脅漏洞會導致內存泄漏,是由dtls1_buffer_record函數在一定條件下被利用導致的。如果攻擊者發送重復的DTLS記錄包并含相同的序列號這個攻擊就有可能攻擊成功。內存泄漏可以通過拒絕服務攻擊使得內存耗盡這樣的方式來利用。
這些漏洞影響的OpenSSL版本為1.0.1和1.0.0。盡管這些問題沒到達到"心臟出血"漏洞的嚴重程度,管理人員仍應該開始計劃升級他們OpenSSL服務器。
我們仍在研究昨日宣布的這八個問題的影響,最嚴重的漏洞只會導致拒絕服務攻擊,受到影響的服務器會產生段錯誤并且可能導致崩潰(CVE-2014-3571)或者內存耗盡(CVE-2015-0206),因此為了保持可靠的服務,OpenSSL需要升級或使用不受影響的SSL庫,如LibreSSL。
其他的漏洞包括OpenSSL服務接受客戶端證書沒有進行DH證書驗證消息、允許客戶端驗證沒有私鑰的訪問等,這只影響服務器信任的客戶端證書權威問題。
另一個漏洞是OpenSSL的客戶端在握手時接受使用ECDH加密方式,如果服務器密鑰交換消息沒有使用ECDSA證書,加密方式將會實效。
安恒信息建議為了保障您的網絡信息數據安全,請盡快將您的OpenSSL升級到相應的安全版本:
1. Openssl dtls1_get_record函數拒絕服務(CVE-2014-3571)
OpenSSL的1.0.1 DTLS用戶應該升級到1.0.1k
OpenSSL的1.0.0 DTLS用戶應該升級到1.0.0p
OpenSSL的0.9.8 DTLS用戶應該升級到0.9.8zd
2. Openssl DTLS內存泄漏漏洞(CVE-2015-0206)
OpenSSL的1.0.1 DTLS用戶應該升級到1.0.1k
OpenSSL的1.0.0 DTLS用戶應該升級到1.0.0p
3. No-SSL3配置集方法空指針(CVE-2014-3569)
OpenSSL的1.0.1的用戶應該升級到1.0.1k
OpenSSL的1.0.0的用戶應該升級到1.0.0p
OpenSSL的0.9.8的用戶應該升級到0.9.8zd
4. ECDHE客戶端協商降級ECDH (CVE-2014-3572)
OpenSSL的1.0.1的用戶應該升級到1.0.1k
OpenSSL的1.0.0的用戶應該升級到1.0.0p
OpenSSL的0.9.8的用戶應該升級到0.9.8zd
5. RSA客戶端協商降級EXPORT_RSA(CVE-2015-0204)
OpenSSL的1.0.1的用戶應該升級到1.0.1k
OpenSSL的1.0.0的用戶應該升級到1.0.0p
OpenSSL的0.9.8的用戶應該升級到0.9.8zd
6. 服務器驗證客戶DH信息不全(CVE-2015-0205)
OpenSSL的1.0.1的用戶應該升級到1.0.1k
OpenSSL的1.0.0的用戶應該升級到1.0.0p
7. 證書指紋可以被修改(CVE-2014-8275)
OpenSSL的1.0.1的用戶應該升級到1.0.1k
OpenSSL的1.0.0的用戶應該升級到1.0.0p
OpenSSL的0.9.8的用戶應該升級到0.9.8zd
8. BIGNUM平方可能會產生不正確的結果(CVE-2014-3570)
OpenSSL的1.0.1的用戶應該升級到1.0.1k
OpenSSL的1.0.0的用戶應該升級到1.0.0p
OpenSSL的0.9.8的用戶應該升級到0.9.8zd