福建省海峡信息技术有限公司安全服务部
安全通告 [2014年第03号]
尊敬的海峡信息客户:
还记得2号通告中提到的OpenSSL心脏滴血漏洞么?无独有偶,OpenSSL又发现了六个安全漏洞,其中两个为严重级别,
可能遭受会话劫持和敏感信息泄漏、在用户机及服务器上可执行任意代码、使用户机进入死循环状态并最终耗尽资源而崩溃。请务必将OpenSSL立即升级到0.9.8za,1.0.0m和1.0.1h。详细信息如下:
1. MAN-IN-THE-MIDDLE ATTACK中间人攻击(CVE-2014-0224)发布时间:2014-06-06
影响版本:OpenSSL Project OpenSSL < 1.0.0m
OpenSSL Project OpenSSL < 1.0.0h
OpenSSL Project OpenSSL < 0.9.8za
漏洞描述:CVE(CAN) ID: CVE-2014-0224
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL 0.9.8za、1.0.0m、1.0.1h之前版本,没有正确处理ChangeCipherSpec消息,这可使中间人攻击者在某些OpenSSL-to-OpenSSL通讯内使用零长度的主密钥,然后用特制的TLS握手劫持会话并获取敏感信息。
2. OpenSSL DTLS无效的DTLS碎片漏洞(CVE-2014-0195)发布时间:2014-06-06
影响版本:OpenSSL Project OpenSSL < 1.0.0m
OpenSSL Project OpenSSL < 1.0.0h
OpenSSL Project OpenSSL < 0.9.8za
漏洞描述:CVE(CAN) ID: CVE-2014-0195
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL 0.9.8za、1.0.0m、1.0.1h之前版本,d1_both.c内的dtls1_reassemble_fragment函数没有正确验证DTLS ClientHello消息内的碎片长度,远程攻击者通过超长的非起始碎片,利用此漏洞可执行任意代码或造成拒绝服务(缓冲区溢出及应用崩溃)。
3. OpenSSL dtls1_get_message_fragment函数拒绝服务漏洞(CVE-2014-0221)发布时间:2014-06-06
影响版本:OpenSSL Project OpenSSL < 1.0.0m
OpenSSL Project OpenSSL < 1.0.0h
OpenSSL Project OpenSSL < 0.9.8za
漏洞描述:CVE(CAN) ID: CVE-2014-0221
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL 0.9.8za、1.0.0m、1.0.1h之前版本,d1_both.c内的dtls1_get_message_fragment函数存在安全漏洞,远程攻击者通过无效DTLS握手内的DTLS问候消息,利用此漏洞可造成拒绝服务(死循环和客户端崩溃)。
4. 其他重要漏洞 - SSL_MODE_RELEASE_BUFFERS NULL pointer dereference 拒绝服务漏洞(CVE-2014-0198),do_ssl3_write()函数允许远程用户通过一个空指针引用,这个漏洞仅仅影响OpenSSL 1.0.0和1.0.1当SSL_MODE_RELEASE_BUFFERS开启的环境(非默认选项);
- SSL_MODE_RELEASE_BUFFERS session injection or denial of service 会话注入&拒绝服务漏洞(CVE-2010-5298), 攻击者利用ssl3_read_bytes 函数的竞争机制可以在会话之间注入数据或者使服务端拒绝服务;
- Anonymous ECDH denial of service 拒绝服务漏洞(CVE-2014-3470), 当OpenSSL TLS客户端启用匿名ECDH密码套件可能导致拒绝服务攻击。
参考链接:http://www.fjssc.cn/html/news/2014/0718/132.html
http://www.fjssc.cn/html/news/2014/0718/131.html
http://www.linuxidc.com/Linux/2014-06/102776.htm
http://www.linuxidc.com/Linux/2014-06/102777.htmhttp://www.linuxidc.com/Linux/2014-06/102774.htmhttp://www.tuicool.com/articles/BZfaq2r安全建议:OpenSSL 0.9.8 SSL/TLS users (client and/or server) 请更新到 0.9.8za;OpenSSL 1.0.0 SSL/TLS users (client and/or server) 请更新到 1.0.0m;OpenSSL 1.0.1 SSL/TLS users (client and/or server) 请更新到 1.0.1h.
OpenSSL 0.9.8 DTLS 用户请更新到 0.9.8za;
OpenSSL 1.0.0 DTLS 用户请更新到 1.0.0m;
OpenSSL 1.0.1 DTLS 用户请更新到 1.0.1h。
OpenSSL 0.9.8 DTLS用户请更新到0.9.8za;
OpenSSL 1.0.0 DTLS用户请更新到1.0.0m;
OpenSSL 1.0.1 DTLS用户请更新到1.0.1h。
OpenSSL 1.0.0 用户请更新到 1.0.0m;
OpenSSL 1.0.1 用户请更新到 1.0.1h
此漏洞仅影响使用OpenSSL1.0.0多线程应用程序和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被启用(不常见,并非默认设置)。
OpenSSL 0.9.8 用户请更新到 0.9.8za;
OpenSSL 1.0.0 用户请更新到 1.0.0m;
OpenSSL 1.0.1 用户请更新到 1.0.1h