上周,开源加密库项目提醒称针有一系列修复补丁推出,而本周二更新即如约而至——请大家及时安装以解决相关严重漏洞。
CVE-2016-2108可谓漏洞界的怪物; 两项低网络bug结合起来构成了巨大的威胁。较早项源自ASN.1语法分解器的小问题,如果用户将0表示为负值,则会触发缓冲区溢出并造成越界写入——但这种情况在ASN.1解析器中极为罕见,因此并不会造成严重后果。
而3月1号libFuzzer扫描代码发现,ANS.1解析器亦可能将大量通用标记误解为“-0”。3月底,谷歌公司的David Benjamin将二者结合,并在新版本中修复了合并后的问题。在某些情况下,这一源自两项问题的漏洞可能导致软件崩溃或者引发潜在的远程恶意代码执行。
CVE-2016-2107则是另一项高危漏洞,其允许中间人攻击者在服务器支持AES-NI的情况下利用AES-CBC加扰机制对数据进行解密。
OpenSSL团队曾于2013年2月的Lucky 13补丁中不经意间引入了新的漏洞。英国研究人员指出,攻击者能够在数小时内向加密信息内填充明文并根据服务器响应情况执行中间人攻击,进而窃取到HTTPS上经过加密的登录密码。
“写入的填充检查会反复对MAC或者填充字节内的同样字节进行读取与比较,”研究人员指出。“但在获取到足以分析MAC及填充字节的数据后,检查将就此中止。”
CVE-2016-2105与CVE-2016-2106皆涉及Base64二进制数据编码机制中的EVPEncodeUpdate()函数,攻击者可通过输入大量数据造成长度溢出检查范围,进而触发堆破坏。不过公告提到,利用这两种漏洞执行恶意代码的可能性比较低。
CVE-2016-2109为ASN.1 BIO中的一项小漏洞,可能快速耗尽内存容量并导致目标系统崩溃。
CVE-2016-2176是较后一项低严重程度漏洞,其可在EBCDIC系统中重载X509_NAME_oneline()函数,导致其将部分数据发回至攻击者——但数据较少,几乎无法加以利用。
与其它OpenSSL安全更新一样,大家应当尽快安装修复补丁,因为该协议与几乎一切网络活动紧密相关,且攻击工具编写者们亦会很快开发出针对性恶意方案。
