预警OpenSSL多个漏洞

综述

2016年9月22日，Open ssl 官方发布了版本更新，修复了多个漏洞：

———————————————————–

漏洞描述：一个恶意客户端可以向服务器持续发送超大的OCSP状态请求扩展，从而耗尽服务器的内存导致拒绝服务。

严重程度：高

———————————————————–

2、CVE-2016-6305

漏洞描述：攻击者可以通过发送一个空记录，从而在调用SSL_peek函数时引起拒绝服务。

严重程度：中

———————————————————–

3、CVE-2016-2183

漏洞描述：该漏洞涉及SWEET32攻击，一种针对64位分组密码算法的生日攻击。

严重程度：低

———————————————————–

4、CVE-2016-6303

漏洞描述：该漏洞是存在于函数MDC2_Update中的一个整数溢出，导致内存破坏，进而允许拒绝服务攻击。

5、CVE-2016-6302

漏洞描述：位于 SSL /t1_lib.c中的函数tls_decrypt_ticket，在确认ticket的长度时没有考虑HMAC的大小，导致内存越界读取，进而引起拒绝服务。

严重程度:低

———————————————————–

6、CVE-2016-2182

漏洞描述：位于crypto/bn/bn_print.c的函数BN_bn2dec没有检验BN_div_word函数的返回值，允许内存越界写入，从而引起拒绝服务。

7、CVE-2016-2180

漏洞描述：位于crypto/ts/ts_lib.c中的函数TS_OBJ_print_bio存在越界写入问题，允许拒绝服务。

8、CVE-2016-2177

漏洞描述：在计算堆缓冲区的边界时出错，允许攻击者发起拒绝服务攻击。

9、CVE-2016-2178

漏洞描述：位于crypto/dsa/dsa_ossl.c中的函数dsa_sign_setup，没有正确处理constant-time，允许攻击者通过边信道攻击获得DSA的私钥。

10、CVE-2016-2179

漏洞描述：在DTLS的实现中，没有正确处理未按序到达的握手消息缓存，允许攻击者同时维护多个精心构造的DTLS会话，导致拒绝服务。

11、CVE-2016-2181

漏洞描述：DTLS实现中的抗重放攻击部分存在缺陷，允许攻击者发起拒绝服务攻击。

12、CVE-2016-6306

漏洞描述：在OpenSSL的1.0.2及更早版本中，缺少对一些消息长度的校验，导致内存越界读取，在理论上允许拒绝服务攻击。

13、CVE-2016-6307

漏洞描述：tls_get_message_header函数存在检查缺陷，导致攻击者可以通过精心构造的数据包，使内存过度分配，进而借此大量消耗服务器的内存导致拒绝服务。

14、CVE-2016-6308

漏洞描述：dtls1_preprocess_fragment存在检查缺陷，导致服务器的内存可以过度分配，进而以前拒绝服务攻击。

官方公告地址如下：

什么是OpenSSL?

SSL是Secure Sockets Layer（安全套接层协议）的缩写，可以在Internet上提供秘密性传输，能使用户/服务器之间的通讯数据不被攻击者窃听，并且始终对服务器进行认证和有条件的对用户进行认证。SSL协议要求建立在可靠的传输层协议（TCP）之上，实现对应用层数据的加密传输与完整性保护。

OpenSSL是一个强大的安全套接字层密码开源库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。

大多数通过SSL/TLS协议加密的网站都使用了OpenSSL的开源软件包。当OpenSSL被爆出安全漏洞，影响将会涉及到所有使用OpenSSL开源包的应用

绿盟科技威胁预警级别

高级：影响范围比较广，危害严重，利用难度较低，7*24小时内部应急跟踪，24小时内完成技术分析、产品升级和防护方案。

影响的版本

• OpenSSL Project OpenSSL < 1.1.0a

• OpenSSL Project OpenSSL < 1.0.2i

• OpenSSL Project OpenSSL < 1.0.1u

不受影响的版本

• OpenSSL Project OpenSSL 1.1.0a

• OpenSSL Project OpenSSL 1.0.2i

• OpenSSL Project OpenSSL 1.0.1u

修复方法

• 官方已经发布版本更新，建议尽快升级到最新版，下载链接如下：

绿盟科技安全团队会持续关注事态变化，后续会发布详细的分析报告、产品升级及解决方案，请广大用户随时关注。

绿盟科技威胁事件定级标准

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。

由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。

如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司（简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易，股票简称： 绿盟科技 ，股票代码： 300369 。

请点击屏幕右上方“…”

关注绿盟科技公众号

NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP