绿盟科技发出OpenSSL高危威胁预警通告 将实施7*24小时内部跟踪24小时技术分析、产品升级及防护方案

简介:

针对OpenSSL漏洞,绿盟科技发布威胁预警并将级别定为高级,这意味着影响范围比较广,危害严重,利用难度较低,绿盟科技将实施7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。

影响的版本

  • OpenSSL Project OpenSSL < 1.1.0a
  • OpenSSL Project OpenSSL < 1.0.2i
  • OpenSSL Project OpenSSL < 1.0.1u

不受影响的版本

  • OpenSSL Project OpenSSL 1.1.0a
  • OpenSSL Project OpenSSL 1.0.2i
  • OpenSSL Project OpenSSL 1.0.1u

修复方法

  • 官方已经发布版本更新,建议尽快升级到最新版,下载链接如下:

https://www.openssl.org/source/

绿盟科技威胁事件定级标准

  1. 级别高:影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。
  2. 级别中:影响范围可控,危害程度可控,利用难度较高,7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。
  3. 级别低:影响较小,危害程度较小。

绿盟科技安全团队会持续关注事态变化,后续会发布详细的分析报告、产品升级及解决方案,请广大用户随时关注。

什么是OpenSSL?

SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输,能使用户/服务器之间的通讯数据不被攻击者窃听,并且始终对服务器进行认证和有条件的对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上,实现对应用层数据的加密传输与完整性保护。

OpenSSL是一个强大的安全套接字层密码开源库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。

大多数通过SSL/TLS协议加密的网站都使用了OpenSSL的开源软件包。当OpenSSL被爆出安全漏洞,影响将会涉及到所有使用OpenSSL开源包的应用。

OpenSSL官方修复了14个漏洞

2016年9月22日,OpenSSL官方发布了版本更新,修复了多个漏洞:

1、CVE-2016-6304

提交时间:2016年8月29日

漏洞描述:一个恶意客户端可以向服务器持续发送超大的OCSP状态请求扩展,从而耗尽服务器的内存导致拒绝服务。

严重程度:高

2、CVE-2016-6305

提交时间:2016年9月10日

漏洞描述:攻击者可以通过发送一个空记录,从而在调用SSL_peek()函数时引起拒绝服务。

严重程度:中

3、CVE-2016-2183

提交时间:2016年8月16日

漏洞描述:该漏洞涉及SWEET32攻击,一种针对64位分组密码算法的生日攻击。

严重程度:低

4、CVE-2016-6303

提交时间:2016年8月11日

漏洞描述:该漏洞是存在于函数MDC2_Update()中的一个整数溢出,导致内存破坏,进而允许拒绝服务攻击。

严重程度:低

5、CVE-2016-6302

提交时间:2016年8月19日

漏洞描述:位于ssl/t1_lib.c中的函数tls_decrypt_ticket(),在确认ticket的长度时没有考虑HMAC的大小,导致内存越界读取,进而引起拒绝服务。

严重程度:低

6、CVE-2016-2182

提交时间:2016年8月2日

漏洞描述:位于crypto/bn/bn_print.c的函数BN_bn2dec()没有检验BN_div_word()函数的返回值,允许内存越界写入,从而引起拒绝服务。

严重程度:低

7、CVE-2016-2180

提交时间:2016年7月21日

漏洞描述:位于crypto/ts/ts_lib.c中的函数TS_OBJ_print_bio()存在越界写入问题,允许拒绝服务。

严重程度:低

8、CVE-2016-2177

提交时间:2016年5月4日

漏洞描述:在计算堆缓冲区的边界时出错,允许攻击者发起拒绝服务攻击。

严重程度:低

9、CVE-2016-2178

提交时间:2016年5月23日

漏洞描述:位于crypto/dsa/dsa_ossl.c中的函数dsa_sign_setup(),没有正确处理constant-time,允许攻击者通过边信道攻击获得DSA的私钥。

严重程度:低

10、CVE-2016-2179

提交时间:2016年6月22日

漏洞描述:在DTLS的实现中,没有正确处理未按序到达的握手消息缓存,允许攻击者同时维护多个精心构造的DTLS会话,导致拒绝服务。

严重程度:低

11、CVE-2016-2181

提交时间:2015年11月21日

漏洞描述:DTLS实现中的抗重放攻击部分存在缺陷,允许攻击者发起拒绝服务攻击。

严重程度:低

12、CVE-2016-6306

提交时间:2016年8月22日

漏洞描述:在OpenSSL的1.0.2及更早版本中,缺少对一些消息长度的校验,导致内存越界读取,在理论上允许拒绝服务攻击。

严重程度:低

13、CVE-2016-6307

提交时间:2016年9月18日

漏洞描述:tls_get_message_header()函数存在检查缺陷,导致攻击者可以通过精心构造的数据包,使内存过度分配,进而借此大量消耗服务器的内存导致拒绝服务。

严重程度:低

14、CVE-2016-6308

提交时间:2016年9月18日

漏洞描述:dtls1_preprocess_fragment()存在检查缺陷,导致服务器的内存可以过度分配,进而以前拒绝服务攻击。

严重程度:低

官方公告地址如下: https://www.openssl.org/news/secadv/20160922.txt

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。



原文发布时间:2017年3月24日

本文由:绿盟科技 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/nsfocus-shows-openssl-high-risk-threat-warning

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
7月前
|
安全 网络安全
入网安全评估第三方报告怎么出
入网安全评估是网络安全风险评估的一种,简单来说就是在信息系统在接入互联网之前进行网络安全风险评估,提前确定系统的网络安全漏洞情况,是否存在高中威胁,是否符合入网安全评估的测评标准以及网络安全等级保护测评的标准。
|
7月前
|
供应链 安全 Shell
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
2024年4月,悬镜供应链安全情报中心在NPM官方仓库和Pypi官方仓库上共捕获772个不同版本的恶意组件包
120 0
供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
|
7月前
|
机器学习/深度学习 监控 安全
【网安】DDoS攻击:方法、影响与防御策略
【网安】DDoS攻击:方法、影响与防御策略
1000 0
|
7月前
|
供应链 安全 Shell
|
监控 安全 Dubbo
Log4j “核弹级”漏洞攻击预警方案
Log4j “核弹级”漏洞影响面极大,虽然官方修复版本已经发布RC版本,很多公司仍然发布公告需要一些时间进行修复。本文介绍如何快速先部署一个预警机制,使得漏洞被利用时可以快速发现并及时响应。
1768 0
Log4j “核弹级”漏洞攻击预警方案
|
Web App开发 云安全 移动开发
如何让千万级业务服务免于CC攻击危害
如何让千万级业务服务免于CC攻击危害
686 0
如何让千万级业务服务免于CC攻击危害
|
安全
阿里云被CNVD认定为漏洞处置突出贡献单位
近日,在国家信息安全漏洞共享平台(CNVD)2018年度工作会议上,CNVD秘书处对2017—2018年度优秀成员单位、白帽子以及行业单位进行了表彰,阿里云被认定为漏洞处置突出贡献单位,是唯一一家获得该奖项的云计算服务商。
2608 0
|
云安全 安全 应用服务中间件
重要预警 | 阿里云捕获一例针对国内群呼系统的0day攻击
摘要 近日,阿里云安全团队基于态势感知 0day 监测系统,检测到来自立陶宛的攻击者的攻击行为。 据情报信息,该攻击者已批量攻击成功,并且,其使用的 Exploit 在互联网范围内未公开。阿里云安全技术团队接到告警后,第一时间协同漏洞研究、安全产品和应急团队,进行分析和处置。
5950 0