当前位置:主页>资 讯>安全动态>

OpenSSL bug迎来规模修复

转载地址:http://www.easyaq.com/news/international/4970.html

上周,开源加密库项目提醒称针有一系列修复补丁推出,而本周二更新即如约而至——请大家及时安装以解决相关严重漏洞。

CNNVD-201605-079(CVE-2016-2108)

两项低网络bug结合起来构成了巨大的威胁。第一项源自ASN.1语法分解器的小问题,如果用户将0表示为负值,则会触发缓冲区溢出并造成越界写入——但这种情况在ASN.1解析器中极为罕见,因此并不会造成严重后果。

而3月1号libFuzzer扫描代码发现,ANS.1解析器亦可能将大量通用标记误解为“-0”。3月底,谷歌公司的David Benjamin将二者结合,并在新版本中修复了合并后的问题。在某些情况下,这一源自两项问题的漏洞可能导致软件崩溃或者引发潜在的远程恶意代码执行。

CNNVD-201605-080(CVE-2016-2107)

另一项高危漏洞,其允许中间人攻击者在服务器支持AES-NI的情况下利用AES-CBC加扰机制对数据进行解密。

OpenSSL团队曾于2013年2月的Lucky 13补丁中不经意间引入了新的漏洞。英国研究人员指出,攻击者能够在数小时内向加密信息内填充明文并根据服务器响应情况执行中间人攻击,进而窃取到HTTPS上经过加密的登录密码。

“写入的填充检查会反复对MAC或者填充字节内的同样字节进行读取与比较,”研究人员指出。“但在获取到足以分析MAC及填充字节的数据后,检查将就此中止。”

CNNVD-201605-081(CVE-2016-2105)与CNNVD-201605-082(CVE-2016-2106)

这两个漏洞皆涉及Base64二进制数据编码机制中的EVPEncodeUpdate()函数,攻击者可通过输入大量数据造成长度溢出检查范围,进而触发堆破坏。不过公告提到,利用这两种漏洞执行恶意代码的可能性比较低。

CNNVD-201605-083(CVE-2016-2109)

该漏洞为ASN.1 BIO中的一项小漏洞,可能快速耗尽内存容量并导致目标系统崩溃。

CNNVD-201605-084(CVE-2016-2176)

最后一项低严重程度漏洞,其可在EBCDIC系统中重载X509_NAME_oneline()函数,导致其将部分数据发回至攻击者——但数据较少,几乎无法加以利用。

与其它OpenSSL安全更新一样,大家应当尽快安装修复补丁,因为该协议与几乎一切网络活动紧密相关,且攻击工具编写者们亦会很快开发出针对性恶意方案。

(责任编辑:腰编辑)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

北京地铁乞讨/邀请扫码屡禁不止,交通执法

北京地铁乞讨/邀请扫码屡禁不止,交通执法队要放大招

昨天,北京市交通执法总队轨道交通执法大队负责人做客首都之窗,通报《北京市轨道交通...[详细]

女网友诱骗假网站买彩票:事主配合警方连锅

女网友诱骗假网站买彩票:事主配合警方连锅端

简先生与陌生女网友聊天,对方表达出与他恋爱之意。此后,女网友展示自己彩票中奖截图...[详细]

在网上给绑匪交赎金是一种怎样的体验?

在网上给绑匪交赎金是一种怎样的体验?

你的所有文档,照片,工作文件,数据库以及其它重要文件都已经被加密。只有本程序可以...[详细]

你家的钱是存银行,还是自己保管?

你家的钱是存银行,还是自己保管?

圈内有关公有云、私有云和传统IDC这三者谁更安全的讨论从没消停过,公说公有理,婆说...[详细]

SourceClear推出开源代码漏洞检测免费工具

SourceClear推出开源代码漏洞检测免费工具——Open

SourceClear近日推出了一款免费的开源代码漏洞检测工具Open。 SourceClear的创始人兼...[详细]

返回首页 返回顶部