新技术论坛
搜索
查看: 645|回复: 0
打印 上一主题 下一主题

国家信息安全漏洞库通报SSL漏洞

[复制链接]
  • TA的每日心情
    开心
    2016-10-18 06:23
  • 签到天数: 72 天

    连续签到: 1 天

    [LV.6]常住居民II

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-3-11 08:20:35 来自手机 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    近日,互联网上披露了有关OpenSSL存在漏洞的情况,引发一定关注。国家信息安全漏洞库(CNNVD)对此进行了跟踪分析。初步分析情况如下:
    一、漏洞基本情况
    OpenSSL在实现SSL/TLS(SSL,安全套接层协议;TLS,安全传输层协议,用于在两个应用程序通信时间提供保密性和完整性保护。)系列协议过程中,支持多个版本的SSL协议,包括SSLv2协议。由于SSLv2协议存在较多安全问题,使得OpenSSL易受中间人攻击和破解(如Bleichenbacher padding oracle attack)。
    OpenSSL部分版本(1.0.1s之前的版本、1.0.2g之前的1.0.2版本)默认支持SSLv2。近日,以色列特拉维夫大学、德国魏恩施蒂芬大学等机构的研究人员阐述了一种新的攻击方式:DROWN攻击(Decrypting RSA using Obsolete and Weakened eNcryption),这种攻击方式涉及的漏洞编号为 CNNVD-201603-001(CVE-2016-0800)。
    攻击者利用这种方式可以破解采用TLS协议加密的会话数据。研究者在实验中证明,在获取1000个左右的TLS会话数据,发起4万个SSLv2连接,并执行250次左右的离线解密计算的条件下,可破解一个TLSv1.2会话数据。研究者为这种计算在亚马逊EC2云计算平台上,租用了具有350 个GPU计算能力的虚拟机集群,运行了8小时,花费了440美元。
    对于2015年3月4日之前的OpenSSL版本,研究者进行了另一项实验,利用OpenSSL中的另一个漏洞CNNVD-201603-005(CVE-2016-0703),使用单台普通计算机即可完成上述攻击,并且攻击时间缩短为1分钟。具体受影响版本为:0.9.8zf之前的版本、1.0.0r之前的1.0.0版本、1.0.1m之前的1.0.1版本、1.0.2a之前的1.0.2版本。
    二、漏洞危害分析
    总体来看,在互联网上使用OpenSSL相关版本的服务器在允许SSLv2连接的情况下,会受上述两个漏洞影响,可能会导致加密通讯数据被解密,可能造成用户敏感信息泄露。
    但从目前掌握的情况来看,由于攻击条件较为苛刻,且尚未有公开发布的攻击代码,对于一般的攻击者而言,很难实现上述攻击。
    三、相关情况说明
    1、部署使用了OpenSSL的单位,应对此问题予以关注,及时检查OpenSSL版本是否在受影响范围内。
    2、从目前的分析来看,利用上述两个漏洞,尚不能直接入侵服务器,也不会导致服务器瘫痪。
    3、上述两个漏洞危害性低于2014年曝出的“心脏出血”漏洞(CNNVD-201404-073)。
    四、安全修复建议
    1、目前OpenSSL团队已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.openssl.org/source/
    2、如果不能升级补丁,可禁用SSLv2协议,具体可参见https://drownattack.com,或及时跟踪CNNVD发布的信息。
    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-23 09:37 , Processed in 0.112154 second(s), 18 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表