OpenSSL受到多个漏洞影响,官方呼吁尽快升级
还记得OpenSSL 心脏滴血漏洞么?几周前,这一漏洞的披露曾震惊互联网,全球有上百万使用OpenSSL对通信进行加密的网站受到该漏洞的影响。
无独有偶,OpenSSL基金会最近又发布了一些更新,修复了六个OpenSSL中的安全漏洞,其中两个为严重级别。
中间人攻击(CVE-2014-0224)
OpenSSL中的第一个严重漏洞(CVE-2014-0224)被称为“CCS 注入”。在OpenSSL建立握手连接的阶段,会发送一种名为ChangeCipherSpec(CCS)的请求,在发送该请求时,攻击者可以通过中间人攻击来劫持服务端与客户端之间的加密通信。
利用该问题,攻击者能够解析加密的链接并将其解密,读取或对通信数据进行操作。但该问题如想成功利用必须服务端域客户端双方均存在该问题。
根据OpenSSL的 报告,“攻击者使用精心构造的握手包能够强制客户端和服务端之间使用弱密钥进行通信。”客户端的OpenSSL所有版本均受影响。只有1.0.1及以上版本是影响服务端的。尤其是一些SSL VPN产品,在该漏洞前几乎全军覆没。
OpenSSL CCS注入漏洞是由一位来自日本Lepidum安全公司的安全研究人员Masashi Kikuchi发现的。根据他的描述,该问题在OpenSSL第一版发布时就已经存在了。RedHat随后也在他们的安全博客中解释了该漏洞的一些 细节。
无效的DTLS碎片漏洞(CVE-2014-0195):向OpenSSL DTLS的客户端或服务端发送无效的DTLS碎片能够导致缓冲区溢出攻击。潜在的攻击者能够利用该漏洞在受影响的客户端或服务端中执行任意代码。
DTLS死循环DOS攻击(CVE-2014-0221):远程攻击者能够发送无效的DTLS握手请求来使目标的处理逻辑进入死循环状态并最终耗尽资源而崩溃。该攻击仅影响将OpenSSL作为DTLS客户端的应用。
好消息是这些 漏洞都没有心脏滴血漏洞那么严重。打过补丁的版本是0.9.8za,1.0.0m和1.0.1h,在OpenSSL官网中已经提供下载了。OpenSSL官方呼吁各厂商尽快更新他们的SSL实现。
via:http://thehackernews.com/2014/06/openssl-vulnerable-to-man-in-middle.html