安全公告编号:CNTA-2014-0023

 2014年8月6日，OpenSSL发布了2014年8月份安全公告，修复了OpenSSL产品存在的9个安全漏洞，涉及SSL/TLS和DTLS两种协议。允许攻击者利用漏洞获取敏感信息或者发起拒绝服务攻击，目前厂商已经发布了上述产品的补丁升级程序，CNVD建议相关用户及时下载使用。具体详情如下所示：

 一、漏洞情况分析

OpenSSL是一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。

（一）OpenSSL信息泄露漏洞 (CNVD-2014-04838)

该产品中OBJ_obj2txt存在缺陷可能引起堆泄露信息，诸如X509_name_oneline,X509_name_print_ex et al打印功能反复输出。允许攻击者利用漏洞访问敏感信息或者发起进一步攻击。

（二）OpenSSL空指针引用本地拒绝服务漏洞 (CNVD-2014-04836)

该漏洞影响OpenSSL客户端，允许恶意服务器通过指定一个SRP密码套件（这个密码套件与客户端可以不匹配），利用空指针引用导致客户端崩溃。

（三）OpenSSL远程拒绝服务漏洞 (CNVD-2014-04830)

该产品中ssl_parse_serverhello_tlsext存在竞争条件错误，通过使用恢复会话和服务器发送一个ec点格式扩展，使多线程客户端连接到恶意服务器，当用户写到255个字节就释放内存，导致拒绝服务。

（四）OpenSSL DTLS远程拒绝服务漏洞（CNVD-2014-04832、CNVD-2014-04833、CNVD-2014-04835、CNVD-2014-04837）

DTLS是数据包传输层安全性协议。OpenSSL DTLS存在多个远程拒绝服务漏洞。允许攻击者通过加载DTLS包、处理DTLS交换消息、精心构造地DTLS包、启用匿名(EC)DH密码套件等几种方式发起拒绝服务攻击。

（五）OpenSSL中间人安全绕过漏洞（CNVD-2014-04834）

OpenSSL SSL/TLS服务器代码存在缺陷，当ClientHello消息被严重地破坏后会导致服务器越过TLS 1.0来代替更高协议的版本，允许攻击者通过中间人的方式修改客户的TLS记录，并被迫降级到TLS 1.0版本，即使服务器和客户端支持更高版本的协议。

（六）OpenSSL SRP远程拒绝服务漏洞（CNVD-2014-04831）

SRP（ Secure RemotePassword）安全远程密码，是一个开放源代码认证协议。OpenSSL SRP存在远程拒绝服务漏洞。当恶意客户端或者服务器发送无效的SRP参数，超过内部缓冲区时，可以导致远程拒绝服务。

二、漏洞影响评估

CNVD对上述漏洞中“OpenSSL远程拒绝服务漏洞（CNVD-2014-04830）、OpenSSL DTLS远程拒绝服务漏洞（CNVD-2014-04832、CNVD-2014-04833、CNVD-2014-04837）”的综合评级为“高危”，其余均为“中危”。

 三、解决方案：

上述产品的漏洞影响版本：0.9.8、1.0.0及1.0.1，相关产品的补丁升级程序已经发布，请广大用户及时更新到如下版本：

OpenSSL 0.9.8 upgrade to 0.9.8zb

OpenSSL 1.0.0 upgrade to 1.0.0n.

OpenSSL 1.0.1 upgrade to 1.0.1i.

参考信息：

https://www.openssl.org/news/secadv_20140806.txt