信息來(lái)源:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心
近日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了OpenSSL存在的加密算法破解漏洞(CNVD-2016-00711,對(duì)應(yīng)CVE-2016-0701)。遠(yuǎn)程攻擊者可利用該漏洞,獲取加密密鑰,并發(fā)起后續(xù)攻擊,獲得用戶的敏感信息。
一、漏洞情況分析
OpenSSL是一個(gè)實(shí)現(xiàn)安全套接層和安全傳輸層協(xié)議的通用開(kāi)源加密庫(kù),可支持多種加密算法,包括對(duì)稱密碼、哈希算法、安全散列算法等。
OpenSSL存在一處加密算法破解漏洞,但是該漏洞需要同時(shí)滿足以下條件:OpenSSL版本為 1.0.2-1.0.2e;依賴于openssl的應(yīng)用程序的簽名算法生成的臨時(shí)密鑰必須基于Diffie Hellman密鑰交換算法。默認(rèn)情況下,由于服務(wù)器會(huì)重復(fù)使用相同的臨時(shí)密鑰,這使得服務(wù)器容易受到密鑰覆蓋攻擊。當(dāng)滿足上述條件后,攻擊者可以通過(guò)服務(wù)器發(fā)送大量的握手請(qǐng)求,當(dāng)有足夠多的計(jì)算數(shù)據(jù)完成后,攻擊者可以獲取部分密鑰值,并結(jié)合其結(jié)果與中國(guó)剩余定理最終推導(dǎo)出解密密鑰。
CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?!?。
二、漏洞影響范圍
漏洞影響OpenSSL 1.0.2-1.0.2e版本。由于OpenSSL廣泛應(yīng)用于一些大型互聯(lián)網(wǎng)企業(yè)的網(wǎng)站、VPN、郵件、即時(shí)聊天等類型的服務(wù)器上,因此對(duì)服務(wù)提供商以及用戶造成的威脅范圍較大,影響較為嚴(yán)重。比如:封裝OpenSSL應(yīng)用的Apache服務(wù)器,雖然開(kāi)啟了SSL_OP_SINGLE_DH_USE選項(xiàng),但用戶需要檢查是否使用不同的私鑰算法;而LibreSSL代碼庫(kù)以及OpenSSL衍伸出的BoringSSL 代碼庫(kù)以及,則將SSL_OP_SINGLE_DH_USE選項(xiàng)選項(xiàng)棄用,會(huì)受到漏洞影響。此外,基于DSA 的Diffie-Hellman配置也依賴靜態(tài)Diffie-Hellman密鑰交換算法套件,相關(guān)應(yīng)用也會(huì)受到影響。
三、漏洞修復(fù)建議
目前,廠商已發(fā)布了1.0.2f版本修復(fù)該漏洞,CNVD建議相關(guān)用戶及時(shí)下載使用,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
https://www.openssl.org/source/
附:參考鏈接:
https://www.openssl.org/news/vulnerabilities.html#y2016
http://arstechnica.com/security/2016/01/high-severity-bug-in-openssl-allows-attackers-to-decrypt-https-traffic/
http://intothesymmetry.blogspot.com/2016/01/openssl-key-recovery-attack-on-dh-small.html
http://www.freebuf.com/vuls/95320.html
http://www.cnvd.org.cn/flaw/show/ CNVD-2016-00711
上一篇:物聯(lián)網(wǎng)時(shí)代 我們需要怎樣的安全體系?
下一篇:網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)-2016年第5期