OpenSSL修复潜伏16年“中间人”漏洞

安全 漏洞
北京时间6月5日晚间,OpenSSL团队发布了5个新的安全补丁,用于修复七处高危漏洞,其中编号为CVE-2014-0224的漏洞已潜伏16年,该漏洞可导致“中间人”截获OpenSSL加密的网站登录密码、电子邮件、聊天记录等重要数据。

北京时间6月5日晚间,OpenSSL团队发布了5个新的安全补丁,用于修复七处高危漏洞,其中编号为CVE-2014-0224的漏洞已潜伏16年,该漏洞可导致“中间人”截获OpenSSL加密的网站登录密码、电子邮件、聊天记录等重要数据。据360网络攻防实验室介绍,由于目前没有公开的漏洞攻击代码,而且OpenSSL已及时发布补丁,这波漏洞的实际威胁会低于“心脏出血”。

OpenSSL官网公告显示,本次OpenSSL团队发布的5个安全补丁主要修复CVE-2014-0224、CVE-2014-0221、CVE-2014-0195、CVE-2010-5298、CVE-2014-0198、CVE-2014-3470、CVE-2014-0076等七个漏洞,涉及多个OpenSSL版本。

其中,编号为CVE-2014-0195的OpenSSL漏洞可导致黑客远程执行任意代码,危害较大;编号为CVE-2014-0224漏洞则是潜伏16年的“中间人”漏洞。利用该漏洞,黑客可通过OpenSSL加密的流量发动“中间人”解密,直接窃听流量中的内容。不过,只有当服务器和客户端同时存在该漏洞、且正在互相通信时,黑客才可以解密窃听流量中的内容。

为了消除安全隐患,360提醒各大网站尽快升级相关OpenSSL版本。因为随着补丁的发布,黑客攻击者会研究补丁制作漏洞攻击工具,那些没有及时打补丁的网站将面临风险。

OpenSSL官网公告:http://www.openssl.org/news/

附:OpenSSL最新漏洞和修复信息

CVE-2014-0224:中间人欺骗(MITM)漏洞,影响客户端(全版本)和服务端(1.0.1 and 1.0.2-beta1)。

建议:

OpenSSL 0.9.8 SSL/TLS users (client and/or server) 请更新到 0.9.8za.

OpenSSL 1.0.0 SSL/TLS users (client and/or server) 请更新到 1.0.0m.

OpenSSL 1.0.1 SSL/TLS users (client and/or server) 请更新到 1.0.1h.

CVE-2014-0221:拒绝服务漏洞,攻击者可通过发送一个恶意的DTLS握手包,导致拒绝服务。

建议:

OpenSSL 0.9.8 DTLS用户请更新到0.9.8za

OpenSSL 1.0.0 DTLS用户请更新到1.0.0m.

OpenSSL 1.0.1 DTLS用户请更新到1.0.1h.

CVE-2014-0195:任意代码执行漏洞,攻击者可发送一个恶意的DTLS fragmetns到OpenSSL DTLS客户端或服务端,将能够在存在漏洞的客户端或服务端引起任意代码执行。

建议:

OpenSSL 0.9.8 DTLS 用户请更新到 0.9.8za

OpenSSL 1.0.0 DTLS 用户请更新到 1.0.0m.

OpenSSL 1.0.1 DTLS 用户请更新到 1.0.1h.

CVE-2014-0198:拒绝服务漏洞,do_ssl3_write()函数允许远程用户通过一个空指针引用,这个漏洞仅仅影响OpenSSL 1.0.0和1.0.1当SSL_MODE_RELEASE_BUFFERS开启的环境(非默认选项)。

建议:

OpenSSL 1.0.0 用户请更新到 1.0.0m.

OpenSSL 1.0.1 用户请更新到 1.0.1h.

CVE-2010-5298:会话注入&拒绝服务漏洞,攻击者利用ssl3_read_bytes 函数的竞争机制可以在会话之间注入数据或者使服务端拒绝服务。

此漏洞仅影响使用OpenSSL1.0.0多线程应用程序和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被启用(不常见,并非默认设置)。

CVE-2014-3470:拒绝服务漏洞,当OpenSSL TLS客户端启用匿名ECDH密码套件可能导致拒绝服务攻击。

建议:

OpenSSL 0.9.8 用户请更新到 0.9.8za

OpenSSL 1.0.0 用户请更新到 1.0.0m.

OpenSSL 1.0.1 用户请更新到 1.0.1h.

CVE-2014-0076:OpenSSL ECDSA 加密问题漏洞,OpenSSL 1.0.0l及之前版本中的Montgomery ladder实现过程中存在安全漏洞,该漏洞源于Elliptic Curve Digital Signature Algorithm (ECDSA)中存在错误。远程攻击者可通过FLUSH+RELOAD Cache旁道攻击利用该漏洞获取ECDSA随机数值。

建议:

OpenSSL 1.0.0m and OpenSSL 0.9.8za 用户请更新到 OpenSSL 1.0.1g.

责任编辑:王林
相关推荐

2014-06-06 14:12:40

2016-09-27 22:45:47

2014-11-21 11:46:55

2020-12-28 10:23:00

中间人攻击漏洞Kubernetes

2016-10-24 14:23:14

2014-05-14 10:44:02

2014-03-17 09:16:08

2013-11-11 10:36:04

2019-01-28 08:59:59

2020-05-07 15:24:22

中间人攻击MITM

2017-02-16 08:53:42

2014-05-15 10:20:07

2014-03-20 10:26:58

2015-01-05 13:29:37

2015-12-29 10:41:16

2015-05-04 14:54:41

2014-11-05 09:41:13

2014-04-09 17:40:00

2017-04-19 12:36:40

2010-06-13 12:06:41

点赞
收藏

51CTO技术栈公众号