安全社区

黑盾云安全社区,与你一起分享安全领域的知识与智慧

海峡信息-安全通告2014年第03号

紧急通告2014-10-13 17:06:18 6096次围观


福建省海峡信息技术有限公司
安全服务部
安全通告
                                                                              
[2014年第03号]
尊敬的海峡信息客户:
还记得2号通告中提到的OpenSSL心脏滴血漏洞么?无独有偶,OpenSSL又发现了六个安全漏洞,其中两个为严重级别,可能遭受会话劫持和敏感信息泄漏、在用户机及服务器上可执行任意代码、使用户机进入死循环状态并最终耗尽资源而崩溃。请务必将OpenSSL立即升级到0.9.8za,1.0.0m和1.0.1h。详细信息如下:
 
1. MAN-IN-THE-MIDDLE ATTACK中间人攻击(CVE-2014-0224)
发布时间:

2014-06-06

影响版本:
OpenSSL Project OpenSSL < 1.0.0m
OpenSSL Project OpenSSL < 1.0.0h
OpenSSL Project OpenSSL < 0.9.8za
漏洞描述:

CVE(CAN) ID: CVE-2014-0224
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL 0.9.8za、1.0.0m、1.0.1h之前版本,没有正确处理ChangeCipherSpec消息,这可使中间人攻击者在某些OpenSSL-to-OpenSSL通讯内使用零长度的主密钥,然后用特制的TLS握手劫持会话并获取敏感信息。

2. OpenSSL DTLS无效的DTLS碎片漏洞(CVE-2014-0195)
发布时间:

2014-06-06

影响版本:
OpenSSL Project OpenSSL < 1.0.0m
OpenSSL Project OpenSSL < 1.0.0h
OpenSSL Project OpenSSL < 0.9.8za
漏洞描述:

CVE(CAN) ID: CVE-2014-0195
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL 0.9.8za、1.0.0m、1.0.1h之前版本,d1_both.c内的dtls1_reassemble_fragment函数没有正确验证DTLS ClientHello消息内的碎片长度,远程攻击者通过超长的非起始碎片,利用此漏洞可执行任意代码或造成拒绝服务(缓冲区溢出及应用崩溃)。

3. OpenSSL dtls1_get_message_fragment函数拒绝服务漏洞
(CVE-2014-0221)
发布时间:

2014-06-06

影响版本:
OpenSSL Project OpenSSL < 1.0.0m
OpenSSL Project OpenSSL < 1.0.0h
OpenSSL Project OpenSSL < 0.9.8za
漏洞描述:

CVE(CAN) ID: CVE-2014-0221
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL 0.9.8za、1.0.0m、1.0.1h之前版本,d1_both.c内的dtls1_get_message_fragment函数存在安全漏洞,远程攻击者通过无效DTLS握手内的DTLS问候消息,利用此漏洞可造成拒绝服务(死循环和客户端崩溃)。

4. 其他重要漏洞

  • SSL_MODE_RELEASE_BUFFERS NULL pointer dereference 拒绝服务漏洞(CVE-2014-0198),do_ssl3_write()函数允许远程用户通过一个空指针引用,这个漏洞仅仅影响OpenSSL 1.0.0和1.0.1当SSL_MODE_RELEASE_BUFFERS开启的环境(非默认选项);

  • SSL_MODE_RELEASE_BUFFERS session injection or denial of service 会话注入&拒绝服务漏洞(CVE-2010-5298), 攻击者利用ssl3_read_bytes 函数的竞争机制可以在会话之间注入数据或者使服务端拒绝服务;

  • Anonymous ECDH denial of service 拒绝服务漏洞(CVE-2014-3470), 当OpenSSL TLS客户端启用匿名ECDH密码套件可能导致拒绝服务攻击。

参考链接:
http://www.linuxidc.com/Linux/2014-06/102776.htm
http://www.linuxidc.com/Linux/2014-06/102777.htm
http://www.linuxidc.com/Linux/2014-06/102774.htm
http://www.tuicool.com/articles/BZfaq2r
安全建议:

  • 对于CVE-2014-0224

OpenSSL 0.9.8 SSL/TLS users (client and/or server) 请更新到 0.9.8za;OpenSSL 1.0.0 SSL/TLS users (client and/or server) 请更新到 1.0.0m;OpenSSL 1.0.1 SSL/TLS users (client and/or server) 请更新到 1.0.1h.

  • 对于CVE-2014-0195

OpenSSL 0.9.8 DTLS 用户请更新到 0.9.8za;
OpenSSL 1.0.0 DTLS 用户请更新到 1.0.0m;
OpenSSL 1.0.1 DTLS 用户请更新到 1.0.1h。

  • 对于CVE-2014-0221

OpenSSL 0.9.8 DTLS用户请更新到0.9.8za;
OpenSSL 1.0.0 DTLS用户请更新到1.0.0m;
OpenSSL 1.0.1 DTLS用户请更新到1.0.1h。

  • 对于CVE-2014-0198

OpenSSL 1.0.0 用户请更新到 1.0.0m;
OpenSSL 1.0.1 用户请更新到 1.0.1h

  • 对于CVE-2010-5298

此漏洞仅影响使用OpenSSL1.0.0多线程应用程序和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被启用(不常见,并非默认设置)。

  • 对于CVE-2014-3470

OpenSSL 0.9.8 用户请更新到 0.9.8za;
OpenSSL 1.0.0 用户请更新到 1.0.0m;
OpenSSL 1.0.1 用户请更新到 1.0.1h


上一篇: 海峡信息--安全通告2014年第06号(Anonymous )

下一篇: 海峡信息-安全通告2014年第04号(bash漏洞)