欧美高清18,秋霞一区二区,宅男午夜影院

OpenSSL新年再現(xiàn)8個漏洞,安恒信息提醒及時升級

責(zé)編：admin ｜2015-01-09 12:34:13

　　2015年1月8日，安恒信息從OpenSSL開源項目官網(wǎng)獲知其針對0.98zd、1.0.0p和1.0.1k版本的修復(fù)補(bǔ)丁發(fā)布了8個安全漏洞的修復(fù)方案。其中最嚴(yán)重的漏洞被OpenSSL項目組歸類為中等安全威脅，這個漏洞可以用來發(fā)動拒絕服務(wù)攻擊。其余的六個問題被定義為低安全威脅。

　　前面提到的中等安全威脅的漏洞是通過一個特定的DTLS消息導(dǎo)致空指針在解引用時OpenSSL發(fā)生的段錯誤。這個問題影響到所有當(dāng)前的OpenSSL版本（0.9.8，1.0.0和1.0.1）并且可能導(dǎo)致拒絕服務(wù)攻擊。第二個中等威脅漏洞會導(dǎo)致內(nèi)存泄漏，是由dtls1_buffer_record函數(shù)在一定條件下被利用導(dǎo)致的。如果攻擊者發(fā)送重復(fù)的DTLS記錄包并含相同的序列號這個攻擊就有可能攻擊成功。內(nèi)存泄漏可以通過拒絕服務(wù)攻擊使得內(nèi)存耗盡這樣的方式來利用。

　　這些漏洞影響的OpenSSL版本為1.0.1和1.0.0。盡管這些問題沒到達(dá)到"心臟出血"漏洞的嚴(yán)重程度，管理人員仍應(yīng)該開始計劃升級他們OpenSSL服務(wù)器。

　　我們?nèi)栽谘芯孔蛉招嫉倪@八個問題的影響，最嚴(yán)重的漏洞只會導(dǎo)致拒絕服務(wù)攻擊，受到影響的服務(wù)器會產(chǎn)生段錯誤并且可能導(dǎo)致崩潰（CVE-2014-3571）或者內(nèi)存耗盡(CVE-2015-0206)，因此為了保持可靠的服務(wù)，OpenSSL需要升級或使用不受影響的SSL庫，如LibreSSL。

　　其他的漏洞包括OpenSSL服務(wù)接受客戶端證書沒有進(jìn)行DH證書驗證消息、允許客戶端驗證沒有私鑰的訪問等，這只影響服務(wù)器信任的客戶端證書權(quán)威問題。

　　另一個漏洞是OpenSSL的客戶端在握手時接受使用ECDH加密方式，如果服務(wù)器密鑰交換消息沒有使用ECDSA證書，加密方式將會實效。

　　安恒信息建議為了保障您的網(wǎng)絡(luò)信息數(shù)據(jù)安全，請盡快將您的OpenSSL升級到相應(yīng)的安全版本：

　　1. Openssl dtls1_get_record函數(shù)拒絕服務(wù)（CVE-2014-3571）

　　OpenSSL的1.0.1 DTLS用戶應(yīng)該升級到1.0.1k

　　OpenSSL的1.0.0 DTLS用戶應(yīng)該升級到1.0.0p

　　OpenSSL的0.9.8 DTLS用戶應(yīng)該升級到0.9.8zd

　　2. Openssl DTLS內(nèi)存泄漏漏洞（CVE-2015-0206）

　　OpenSSL的1.0.1 DTLS用戶應(yīng)該升級到1.0.1k

　　OpenSSL的1.0.0 DTLS用戶應(yīng)該升級到1.0.0p

　　3. No-SSL3配置集方法空指針（CVE-2014-3569）