请稍候...
  • 通配符证书Wildcard SSL,部署全网HTTPS必备
  • 为什么使用企业型SSL证书?
  • 增强型证书EV SSL,完美支持地址栏显示中文企业名称
  • HTTPS今天你用了吗?
  • 多域名SANS/UCC SSL证书,全面支持Exchange Server 2..
  • 选择SSL证书产品遇到问题?

OpenSSL又爆严重漏洞 CCS注入漏洞已存15年

点击数:75272014-06-12 12:37:58 来源: 中国数字证书CHINASSL

  OpenSSL基金会发布安全公告,修补6项安全漏洞,其中两项SANS网络安全中心列为重大漏洞,一项可能导致远程执行任意程序,另一项则可能让黑客透过中间人攻击(man-in-the-middle, MITM)窃听SSL加密联机内容,该漏洞并已存在超过15年。安全人员也将此一漏洞称之为「CCS注入漏洞」(CCS Injection Vulnerability)。

  此次公布的六个漏洞中最引人注目的是由日本安全研究人员Masashi Kikuchi所通报的 CVE-2014-0224,这项「SSL/TLS中间人攻击漏洞」(SSL/TLS MITM)可能导致OpenSSL在终端及服务器进行TLS handshake时不当接受ChangeCiperSpec (CCS),使黑客得以用来破解SSL及TLS流量,甚至修改其中内容,因此安全研究人员也称它为「CCS注入漏洞」。

  CVE-2014-0195是属于「DTLS无效片断漏洞」(DTLS invalid fragment),可能让黑客得以传送无效的DTLS片段到OpenSSL DTLS客户端及服务器,藉此发动缓冲溢位(buffer over)攻击,并由远程执行任意程序代码,因此被SANS列为重大漏洞。

  Google安全研究人员Adam Langley 说明CVE-2014-0224指出,OpenSSL网站上最旧的程序代码是1998年12月28日的0.9.1c ,而受影响的程序代码几乎都没变更过,因此这个臭虫可能已经存在超过15年。

  不过在一些因缘巧合之下,除了服务器端及客户端都要同时存在漏洞之外,只有服务器上的OpenSSL是1.01版之后才会受到中间人攻击。Adam Langley分析整个攻击模式指出,整个机制相当复杂,但主因在于当初他修补了1.01版的漏洞时修改了Finished值的计算方式。但他也表示,不晓得黑客还会找出一些如何利用该漏洞的创意方式。

  好消息是,这些攻击除了需要找到中间人模式的位置,而且不具有OpenSSL的客户端都不会受到影响,例如桌面版及iOS版的IE、Firefox、Chrome,以及Safari等浏览器。

  这项漏洞已经透过更新修补。OpenSSL基金会建议不管是服务器端或是使用者端的使用者,都应将OpenSSL 0.9.8 SSL/TLS升级到0.9.8za, OpenSSL 1.0.0 SSL/TLS升级到 1.0.0m,而OpenSSL 1.0.1 SSL/TLS则应升级至1.0.1h。这些更新也同时修补了OpenSSL函式库中三项可能导致DLS 联机DoS攻击及远程执行程序代码的漏洞。

  据有关专家说,服务器端与客户端都使用该OpenSSL漏洞的软件时,才会发生被窃听的风险,不像先前HeartBleed漏洞,只要服务器端使用openSSL就会发生问题遭骇。徐念恩表示,例如Andrdoi版Chrome浏览器就使用了有此漏洞的OpenSSL程,因此,他建议改用其他手机浏览器来降低危险。Google也紧急更新Chrome for Android内建的OpenSSL程序版本,推出35.0.1916.141新版本,预计最近几天会发布到各国Google Play市场。

  OpenSSL安全公告指出,只有在客户端及服务器端同时都安装有瑕疵的软件时才会发生上述攻击。这项漏洞影响所有OpenSSL客户端,以及安装OpenSSL 1.0.1及1.0.20 beta1版的服务器。OpenSSL 1.0.1.释出时间为2012年3月。但安全人员建议OpenSSL1.0.1之前版本用户最好也升级到最新版本。 

上一页1下一页