自从两月前爆出心脏出血漏洞引发“互联网大地震”后,互联网基础安全技术OpenSSL因可谓屋漏偏逢连夜雨,各种漏洞近期密集曝光,上周更是爆出潜伏长达16年的中间人漏洞。
昨日,OpenSSL再度发布针对六项安全漏洞的修复方案——其中包括一个允许中间人(简称MITM)窃取加密连接的漏洞,外加一个可能允许攻击者向存在风险的系统投放恶意软件的漏洞。
一项DTLS无效片段漏洞(CVE-2014-0195,受影响的版本包括0.9.8、1.0.0以及1.0.1)可被用于向漏洞软件所在的应用程序或者服务器注入恶意代码。DTLS基本上属于UDP(而非TCP)上的经典TLS加密机制,主要被用于保护视频以及语音聊天等实时流媒体安全。
不过另一项SSL/TLS中间人漏洞(CVE-2014-0224,潜在影响到所有运行1.0.1以及1.0.2-beta1版本的客户端及服务器)引发的后果可能更为严重,OpenSSL官方给出的咨询解释为:
攻击者可以利用经过精心制作的握手活动强制使用OpenSSL SSL/TLS客户端及服务器中的薄弱键入机制。这项漏洞可能会被中间人攻击所利用,攻击者可以借此对受攻击的客户端及服务器流量进行解密与修改。
这一攻击活动只适用于存在漏洞的客户端和服务器。OpenSSL全部版本的客户端都存在这项安全漏洞。目前已知存在该漏洞的服务器端版本为OpenSSL 1.0.1与1.0.2-beta1。使用OpenSSL 1.0.1乃至更早版本的服务器用户建议升级至新版本以预防此类安全问题的发生。
建议用户和管理员检查和更新他们的系统,针对OpenSSL的补丁可用在例如主要发行版的Linux上。
此次曝光的CVE-2014-0224中间人漏洞自OpenSSL最初版本时起就已经存在,发现该漏洞的日本安全研究人员Masashi Kikuchi解释称。
“好消息是,此类攻击活动(利用CVE-2014-0224)需要中间人定位来对受害者进行窥探,而且那些非OpenSSL客户端(包括IE、火狐、桌面版本Chrome以及iOS与Safari等)都不会受到影响,”谷歌公司高级软件工程师Adam Langley今天在自己的个人博客中指出。
“不过归根结底,每一位OpenSSL用户还是应该尽早更新。”
DTLS漏洞的存在同样令安全专家们惊惧不已。“OpenSSL DTLS漏洞的出现可追溯至今年四月,但直到今天才被正式报道出来。它可能允许远程代码在客户端与服务器上执行(OpenSSL DTLS如今仍是一场安全噩梦),”计算机科学教授Matthew Green在一篇推文更新中指出。
“这项OpenSSL安全漏洞只是此类细化协议漏洞的一个典型代表,而LibreSSL不可能在fork中将其修复。”
这项建议发布自臭名昭著的Heartbleed安全漏洞被曝光的仅仅数周之后的周四。
Green教授预计,此次现身的这几项漏洞在实际利用方面难度很高——这一点与可能导致密码泄露的Heartbleed漏洞正好相反。
其它四项修复措施则已经能够解决拒绝服务类型的漏洞。
安全漏洞管理企业Rapid7公司服务战略副总裁Nicholas J. Percoco表示,目前有大量不同类型的服务器及其它互联网接入系统需要进行更新,从而避免攻击者利用这些已经存在修复方案的漏洞。
“新近曝光的这些OpenSSL中间人安全漏洞会影响到所有运行着OpenSSL的客户端应用程序及设备,并在它们与存在漏洞的特定版本、包括最新版本服务器通信时引发问题,”Percoco解释道。
“其中可能包括在今年四月初Heartbleed被披露后紧急完成过OpenSSL升级的大部分互联网接入系统。中间人攻击的危险系数很高,因为它可能允许攻击者截获客户端(例如一位终端用户)与服务器(例如网上银行服务)之间本应受到严格加密的传输信息。
“这类攻击在本质上是被动的,而且很可能不会被客户端、服务器或者基于网络的安全控制方案检测到。”
Green教授同时补充称,尽管有可能在短期内给系统管理员带来额外的工作压力与被迫加班,但深入挖掘OpenSSL中可能存在的更多安全漏洞仍然是一项很有意义的积极尝试。
“OpenSSL安全漏洞在数量上的突然增长可以说在意料之中,而且并不是什么坏事。这就像是在春季大扫除中找到散落四处的垃圾一样,”他指出。
