关于OpenSSL修复多个安全漏洞的情况公告

2016-05-06 19:16:01

安全公告编号:CNTA-2016-0019

近日,OpenSSL发布了安全公告,共含6项更新。其中2项更新的综合评级为“高危”。国家信息安全漏洞共享平台(CNVD)收录了对应的漏洞,远程攻击者利用上述漏洞可导致程序崩溃,执行任意代码。

一、漏洞情况分析

OpenSSL是一个实现安全套接层和安全传输层协议的通用开源加密库,可支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。近期官方发布安全公告,修复如下列表漏洞:

漏洞编号 漏洞标题 描述 评级
CNVD-2016-02676
CVE-2016-2176
OpenSSL EBCDIC越界读漏洞 OpenSSL EBCDIC存在越界读漏洞。当程序使用EBCDIC系统X509_NAME_oneline()函数,ASN1字符串超过1024字节可导致越界读,进而可导致在缓冲区返回任意堆栈的数据。 低危
CNVD-2016-02677
CVE-2016-2109
OpenSSL ASN.1 BIO内存过度分配漏洞 OpenSSL ASN.1 BIO存在内存过度分配漏洞。攻击者利用漏洞使用BIO的函数读取ASN.1中的数据时,简短无效的字符编码也引起大量内存分配,耗尽内存资源。 低危
CNVD-2016-02678
CVE-2016-2106
OpenSSL EVP_EncodeUpdate溢出漏洞(CNVD-2016-02678) OpenSSL EVP_EncodeUpdate()存在溢出漏洞。攻击者利用漏洞可输入大量数据,导致长度检查时发生堆破坏溢出。 中危
CNVD-2016-02679
CVE-2016-2105
OpenSSL EVP_EncodeUpdate溢出漏洞 OpenSSL EVP_EncodeUpdate()存在溢出漏洞。攻击者利用漏洞可输入大量数据,导致长度检查时发生堆破坏溢出。 中危
CNVD-2016-02680
CVE-2016-2107
OpenSSL密文填塞漏洞 “密文填塞”(Padding Oracle)漏洞允许中间人攻击者在服务器支持AES-NI的情况下利用AES-CBC加扰机制对数据进行解密。攻击者能够在数小时内向加密信息内填充明文并根据服务器响应情况执行中间人攻击,进而窃取到HTTPS上经过加密的登录密码。 高危
CNVD-2016-02681
CVE-2016-2108
OpenSSL ASN.1 encoder内存破坏漏洞 内存错误漏洞出现在OpenSSL所使用的ASN.1编码器中,由两个低风险的漏洞所构成,但彼此牵动便会造成严重的后果,可允许攻击者执行任意代码。若用户将0表示为负值,则会触发缓冲区溢出并造成越界写入,但这种情况在ASN.1解析器中极为罕见,因此并不会造成严重后果,但是ANS.1解析器亦可能将大量通用标记误解为“-0”。两项问题的漏洞可能导致程序崩溃或者引发潜在的远程恶意代码执行。 高危

二、漏洞影响范围

漏洞影响OpenSSL 1.0.2,1.0.1版本。由于OpenSSL广泛应用于一些大型互联网企业的网站、VPN、邮件、即时聊天等类型的服务器上,因此对服务提供商以及用户造成的威胁范围较大,影响较为严重。大多数通过SSL/TLS协议加密的网站都使用了OpenSSL的开源软件包,因此漏洞影响会涉及到所有使用OpenSSL开源包的应用。

三、漏洞修复建议

目前,厂商已发布安全公告修复上述漏洞。CNVD建议相关用户关注厂商主页更新,及时下载最新版本,避免引发漏洞相关的网络安全事件。https://www.openssl.org/source/ 

附:参考链接:

https://www.openssl.org/news/vulnerabilities.html

https://www.openssl.org/news/secadv/20160503.txt

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02676

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02677

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02678

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02679

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02680

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02681