OpenSSL新漏洞曝光：可被用于“中間人”攻擊

北京時(shi)間6月6日消息，據科技網(wang)站PCWorld報道，一個新發(fa)現的OpenSSL漏洞可(ke)被(bei)用(yong)于攔(lan)截經過加密的安(an)全套接層(ceng)(ceng)(SSL)和安(an)全傳輸層(ceng)(ceng)(TLS)通訊，發(fa)動“中間人攻(gong)擊”。目前該漏洞已(yi)經被(bei)確認并(bing)修(xiu)復(fu)。

該漏洞的追蹤標(biao)號(hao)(hao)為CVE-2014-0224。如果服務器OpenSSL庫版(ban)本號(hao)(hao)為1.0.1或者(zhe)更新，那么(me)該漏洞可(ke)被用于解密(mi)和修改(gai)客戶(hu)端與服務器之間(jian)的SSL和TLS流量(liang)。

為了完成一次成功的攻(gong)(gong)擊，攻(gong)(gong)擊者(zhe)首先需(xu)要攔截目標客(ke)戶(hu)端和(he)服務器(qi)之間的連接。這就需(xu)要攻(gong)(gong)擊者(zhe)處于“中間人”位置，通(tong)過侵入路(lu)由器(qi)或者(zhe)使用其它(ta)方(fang)法進入不安全的無線網(wang)絡。

這一(yi)安(an)全漏洞由日本(ben)IT咨詢(xun)公司Lepidum研究員Masashi Kikuchi發現，已經在周(zhou)四發布的(de)OpenSSL 0.9.8za、 1.0.0m、1.0.1h版(ban)本(ben)中進行了修復。新版(ban)軟件還修復了三(san)個拒絕服務問(wen)題以及一(yi)處當OpenSSL庫被用于數據(ju)安(an)全傳輸層(DTLS)連接時(shi)出現 的(de)遠程代碼(ma)執行漏洞。

Kikuchi稱，由于OpenSSL能(neng)夠在(zai)TLS握手時(shi)不合理地接(jie)收更改密(mi)(mi)鑰(yao)規格(ge)協議(CCS)信(xin)息，所以中間(jian)人攻擊是可能(neng)實現的。這些(xie)信(xin)息標記(ji) 了未加(jia)密(mi)(mi)流(liu)量到加(jia)密(mi)(mi)流(liu)量發生的改變，必須(xu)在(zai)TLS握手期間(jian)的具體時(shi)間(jian)發送出去，但(dan)是OpenSSL也能(neng)在(zai)其它(ta)時(shi)間(jian)段接(jie)收到CCS信(xin)息。

谷歌高級軟件工(gong)程師亞當·拉(la)吉里(Adam Langley)在(zai)其個(ge)人博(bo)客的分析報(bao)告中稱(cheng)，這一漏(lou)(lou)洞至少(shao)在(zai)OpenSSL 0.9.1c版本(ben)時就已(yi)經存在(zai)。該版本(ben)在(zai)1998年12月(yue)發(fa)布，也(ye)就是說(shuo)這一漏(lou)(lou)洞已(yi)經至少(shao)存在(zai)15年了(le)。

OpenSSL開發(fa)(fa)者(zhe)在周四發(fa)(fa)布的(de)安(an)全報告中稱，使(shi)用OpenSSL的(de)客(ke)戶端不管使(shi)用何種版(ban)本(ben)，都易(yi)遭到攻(gong)擊(ji)，但是服務(wu)器只有在運行(xing) OpenSSL 1.0.1x、1.0.2-beta1時易(yi)于(yu)遭到攻(gong)擊(ji)。安(an)全廠商Qualys的(de)SSL實驗(yan)室負(fu)責(ze)人伊萬·里斯迪克 ( Ivan Ristic)稱，OpenSSL 1.0.1發(fa)(fa)布于(yu)2012年3月，目前大約有24%的(de)SSL服務(wu)器使(shi)用這一版(ban)本(ben)。

“好消息是(shi)，這種攻擊(ji)需要中間(jian)人，非OpenSSL客(ke)戶端(IE、Firefox、桌面(mian)版Chrome、iOS、Safari等)不(bu)會(hui)受到(dao)影(ying)響。盡管如此(ci)，所(suo)有(you)OpenSSL用戶都應該(gai)進行升級。”拉吉里(li)稱。