近日,国家信息安全漏洞共享平台(CNVD)收录了OpenSSL存在多个拒绝服务漏洞(CNVD-2016-11090、CNVD-2016-11095、CNVD-2016-11093,对应CVE-2016-7054、CVE-2016-7053、CVE-2016-7055)。远程攻击者利用上述漏洞,可发起拒绝服务攻击,导致内存或CPU资源耗尽。
一、漏洞情况分析
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
(一)OpenSSL拒绝服务漏洞(CNVD-2016-11090)
由于TLS链接使用的*-CHACHA20-POLY1305密码组件,通过破坏大量的有效荷载易受到拒绝服务攻击,可能导致OpenSSL的崩溃。远程攻击者利用该漏洞,可造成应用程序拒绝服务,导致内存或CPU资源耗尽。CNVD对该漏洞的综合评级为“高危”。
(二)OpenSSL空指针废弃拒绝服务漏洞(CNVD-2016-11095)
程序在试图释放某些无效编码时,错误处理OpenSSL 1.1.0中的ASN.1选择类型,可导致一个NULL值被传递给回调结构,当NULL指针解析无效的CMS结构可导致应用程序崩溃。仅使用不处理空值的回调函数的选择结构时受到影响。CNVD对该漏洞的综合评级为“中危”。
(三)OpenSSL拒绝服务漏洞(CNVD-2016-11093)
当Broadwell-specific Montgomery乘法运算程序在处理输入长度超过256bits数据时,可导致应用程序崩溃。分析表明,由于存在问题的子程序不使用私钥本身的操作和攻击者的直接输入,攻击者不能攻击RSA,DSA和DH密钥。在EC算法中只有Brainpool P-512 curves受到影响,有可能存在针对ECDH的密钥协商攻击。CNVD对该漏洞的综合评级依次为“低危”。
二、漏洞影响范围
上述漏洞影响OpenSSL 1.1.0版本。
三、漏洞修复建议
目前,厂商已发布了漏洞修复程序,用户可将程序升级至1.1.0c版本。
附:参考链接:
https://www.openssl.org/news/secadv/20161110.txt
https://www.openssl.org/(补丁地址)
http://www.cnvd.org.cn/flaw/show/CNVD-2016-11090
http://www.cnvd.org.cn/flaw/show/CNVD-2016-11095
http://www.cnvd.org.cn/flaw/show/CNVD-2016-11093