上周,開源加密庫項目提醒稱針有一系列修復補丁推出,而本周二更新即如約而至——請大家及時安裝以解決相關嚴重漏洞。
CVE-2016-2108可謂漏洞界的怪物; 兩項低網絡bug結合起來構成了巨大的威脅。第一項源自ASN.1語法分解器的小問題,如果用戶將0表示為負值,則會觸發緩沖區溢出并造成越界寫入——但這種情況在ASN.1解析器中極為罕見,因此并不會造成嚴重后果。
而3月1號libFuzzer掃描代碼發現,ANS.1解析器亦可能將大量通用標記誤解為“-0”。3月底,谷歌公司的David Benjamin將二者結合,并在新版本中修復了合并后的問題。在某些情況下,這一源自兩項問題的漏洞可能導致軟件崩潰或者引發潛在的遠程惡意代碼執行。
CVE-2016-2107則是另一項高危漏洞,其允許中間人攻擊者在服務器支持AES-NI的情況下利用AES-CBC加擾機制對數據進行解密。
OpenSSL團隊曾于2013年2月的Lucky 13補丁中不經意間引入了新的漏洞。英國研究人員指出,攻擊者能夠在數小時內向加密信息內填充明文并根據服務器響應情況執行中間人攻擊,進而竊取到HTTPS上經過加密的登錄密碼。
“寫入的填充檢查會反復對MAC或者填充字節內的同樣字節進行讀取與比較,”研究人員指出。“但在獲取到足以分析MAC及填充字節的數據后,檢查將就此中止。”
CVE-2016-2105與CVE-2016-2106皆涉及Base64二進制數據編碼機制中的EVPEncodeUpdate()函數,攻擊者可通過輸入大量數據造成長度溢出檢查范圍,進而觸發堆破壞。不過公告提到,利用這兩種漏洞執行惡意代碼的可能性比較低。
CVE-2016-2109為ASN.1 BIO中的一項小漏洞,可能快速耗盡內存容量并導致目標系統崩潰。
CVE-2016-2176是最后一項低嚴重程度漏洞,其可在EBCDIC系統中重載X509_NAME_oneline()函數,導致其將部分數據發回至攻擊者——但數據較少,幾乎無法加以利用。
與其它OpenSSL安全更新一樣,大家應當盡快安裝修復補丁,因為該協議與幾乎一切網絡活動緊密相關,且攻擊工具編寫者們亦會很快開發出針對性惡意方案。
京公網安備 11010502049343號