OpenSSL新年再现8个漏洞 安恒信息提醒及时升级
2015年1月8日,安恒信息从OpenSSL开源项目官网获知其针对0.98zd、1.0.0p和1.0.1k版本的修复补丁发布了8个安全漏洞的修复方案。其中最严重的漏洞被OpenSSL项目组归类为中等安全威胁,这个漏洞可以用来发动拒绝服务攻击。其余的六个问题被定义为低安全威胁。
前面提到的中等安全威胁的漏洞是通过一个特定的DTLS消息导致空指针在解引用时OpenSSL发生的段错误。这个问题影响到所有当前的OpenSSL版本(0.9.8,1.0.0和1.0.1)并且可能导致拒绝服务攻击。第二个中等威胁漏洞会导致内存泄漏,是由dtls1_buffer_record函数在一定条件下被利用导致的。如果攻击者发送重复的DTLS记录包并含相同的序列号这个攻击就有可能攻击成功。内存泄漏可以通过拒绝服务攻击使得内存耗尽这样的方式来利用。
这些漏洞影响的OpenSSL版本为1.0.1和1.0.0。尽管这些问题没到达到“心脏出血”漏洞的严重程度,管理人员仍应该开始计划升级他们OpenSSL服务器。
我们仍在研究昨日宣布的这八个问题的影响,最严重的漏洞只会导致拒绝服务攻击,受到影响的服务器会产生段错误并且可能导致崩溃(CVE-2014-3571)或者内存耗尽(CVE-2015-0206),因此为了保持可靠的服务,OpenSSL需要升级或使用不受影响的SSL库,如LibreSSL。
其他的漏洞包括OpenSSL服务接受客户端证书没有进行DH证书验证消息、允许客户端验证没有私钥的访问等,这只影响服务器信任的客户端证书权威问题。
另一个漏洞是OpenSSL的客户端在握手时接受使用ECDH加密方式,如果服务器密钥交换消息没有使用ECDSA证书,加密方式将会实效。
安恒信息建议为了保障您的网络信息数据安全,请尽快将您的OpenSSL升级到相应的安全版本:
1.Openssl dtls1_get_record函数拒绝服务(CVE-2014-3571)
OpenSSL的1.0.1 DTLS用户应该升级到1.0.1k
OpenSSL的1.0.0 DTLS用户应该升级到1.0.0p
OpenSSL的0.9.8 DTLS用户应该升级到0.9.8zd
2.Openssl DTLS内存泄漏漏洞(CVE-2015-0206)
OpenSSL的1.0.1 DTLS用户应该升级到1.0.1k
OpenSSL的1.0.0 DTLS用户应该升级到1.0.0p
3.No-SSL3配置集方法空指针(CVE-2014-3569)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
OpenSSL的0.9.8的用户应该升级到0.9.8zd
4.ECDHE客户端协商降级ECDH (CVE-2014-3572)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
OpenSSL的0.9.8的用户应该升级到0.9.8zd
5.RSA客户端协商降级EXPORT_RSA(CVE-2015-0204)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
OpenSSL的0.9.8的用户应该升级到0.9.8zd
6.服务器验证客户DH信息不全(CVE-2015-0205)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
7.证书指纹可以被修改(CVE-2014-8275)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
OpenSSL的0.9.8的用户应该升级到0.9.8zd
8.BIGNUM平方可能会产生不正确的结果(CVE-2014-3570)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
OpenSSL的0.9.8的用户应该升级到0.9.8zd
前面提到的中等安全威胁的漏洞是通过一个特定的DTLS消息导致空指针在解引用时OpenSSL发生的段错误。这个问题影响到所有当前的OpenSSL版本(0.9.8,1.0.0和1.0.1)并且可能导致拒绝服务攻击。第二个中等威胁漏洞会导致内存泄漏,是由dtls1_buffer_record函数在一定条件下被利用导致的。如果攻击者发送重复的DTLS记录包并含相同的序列号这个攻击就有可能攻击成功。内存泄漏可以通过拒绝服务攻击使得内存耗尽这样的方式来利用。
这些漏洞影响的OpenSSL版本为1.0.1和1.0.0。尽管这些问题没到达到“心脏出血”漏洞的严重程度,管理人员仍应该开始计划升级他们OpenSSL服务器。
我们仍在研究昨日宣布的这八个问题的影响,最严重的漏洞只会导致拒绝服务攻击,受到影响的服务器会产生段错误并且可能导致崩溃(CVE-2014-3571)或者内存耗尽(CVE-2015-0206),因此为了保持可靠的服务,OpenSSL需要升级或使用不受影响的SSL库,如LibreSSL。
其他的漏洞包括OpenSSL服务接受客户端证书没有进行DH证书验证消息、允许客户端验证没有私钥的访问等,这只影响服务器信任的客户端证书权威问题。
另一个漏洞是OpenSSL的客户端在握手时接受使用ECDH加密方式,如果服务器密钥交换消息没有使用ECDSA证书,加密方式将会实效。
安恒信息建议为了保障您的网络信息数据安全,请尽快将您的OpenSSL升级到相应的安全版本:
1.Openssl dtls1_get_record函数拒绝服务(CVE-2014-3571)
OpenSSL的1.0.1 DTLS用户应该升级到1.0.1k
OpenSSL的1.0.0 DTLS用户应该升级到1.0.0p
OpenSSL的0.9.8 DTLS用户应该升级到0.9.8zd
2.Openssl DTLS内存泄漏漏洞(CVE-2015-0206)
OpenSSL的1.0.1 DTLS用户应该升级到1.0.1k
OpenSSL的1.0.0 DTLS用户应该升级到1.0.0p
3.No-SSL3配置集方法空指针(CVE-2014-3569)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
OpenSSL的0.9.8的用户应该升级到0.9.8zd
4.ECDHE客户端协商降级ECDH (CVE-2014-3572)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
OpenSSL的0.9.8的用户应该升级到0.9.8zd
5.RSA客户端协商降级EXPORT_RSA(CVE-2015-0204)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
OpenSSL的0.9.8的用户应该升级到0.9.8zd
6.服务器验证客户DH信息不全(CVE-2015-0205)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
7.证书指纹可以被修改(CVE-2014-8275)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
OpenSSL的0.9.8的用户应该升级到0.9.8zd
8.BIGNUM平方可能会产生不正确的结果(CVE-2014-3570)
OpenSSL的1.0.1的用户应该升级到1.0.1k
OpenSSL的1.0.0的用户应该升级到1.0.0p
OpenSSL的0.9.8的用户应该升级到0.9.8zd关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
站内编辑
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平将发表二〇二六年新年贺词 7904141
- 2 2026年国补政策来了 7808738
- 3 东部战区:开火!开火!全部命中! 7712893
- 4 2026年这些民生政策将惠及百姓 7616985
- 5 小学食堂米线过期2.5小时被罚5万 7519709
- 6 解放军喊话驱离台军 原声曝光 7428214
- 7 为博流量直播踩烈士陵墓?绝不姑息 7327605
- 8 每月最高800元!多地发放养老消费券 7238391
- 9 数字人民币升级 1月1日起将计付利息 7141831
- 10 2026年1月1日起 一批新规将施行 7040675
