安全公告编号:CNTA-2016-0057

近日，国家信息安全漏洞共享平台（CNVD）收录了OpenSSL存在多个拒绝服务漏洞（CNVD-2016-11090、CNVD-2016-11095、CNVD-2016-11093，对应CVE-2016-7054、CVE-2016-7053、CVE-2016-7055）。远程攻击者利用上述漏洞，可发起拒绝服务攻击，导致内存或CPU资源耗尽。

一、漏洞情况分析

OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。

（一）OpenSSL拒绝服务漏洞（CNVD-2016-11090）

由于TLS链接使用的*-CHACHA20-POLY1305密码组件，通过破坏大量的有效荷载易受到拒绝服务攻击，可能导致OpenSSL的崩溃。远程攻击者利用该漏洞，可造成应用程序拒绝服务，CNVD对该漏洞的综合评级为“高危”。

（二）OpenSSL空指针废弃拒绝服务漏洞（CNVD-2016-11095）

程序在试图释放某些无效编码时，错误处理OpenSSL 1.1.0中的ASN.1选择类型，可导致一个NULL值被传递给回调结构，当NULL指针解析无效的CMS结构可导致应用程序崩溃。仅使用不处理空值的回调函数的选择结构时受到影响。CNVD对该漏洞的综合评级为“中危”。

（三）OpenSSL拒绝服务漏洞（CNVD-2016-11093）

当Broadwell-specific Montgomery乘法运算程序在处理输入长度超过256bits数据时，可导致应用程序崩溃。分析表明，由于存在问题的子程序不使用私钥本身的操作和攻击者的直接输入，攻击者不能攻击RSA，DSA和DH密钥。在EC算法中只有Brainpool P-512 curves受到影响，有可能存在针对ECDH的密钥协商攻击。CNVD对该漏洞的综合评级依次为“低危”。

二、漏洞影响范围

上述漏洞影响OpenSSL1.1.0版本。

三、漏洞修复建议

目前，厂商已发布了漏洞修复程序，用户可将程序升级至1.1.0c版本。

附：参考链接：

https://www.openssl.org/news/secadv/20161110.txt

https://www.openssl.org/（补丁地址）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11090

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11095

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11093