北京時(shí)間6月5日晚間，OpenSSL團(tuán)隊(duì)發(fā)布了5個(gè)新的安全補(bǔ)丁，用于修復(fù)七處高危漏洞，其中編號為CVE-2014-0224的漏洞已潛伏16年，該漏洞可導(dǎo)致“中間人”截獲OpenSSL加密的網(wǎng)站登錄密碼、電子郵件、聊天記錄等重要數(shù)據(jù)。據(jù)360網(wǎng)絡(luò)攻防實(shí)驗(yàn)室介紹，由于目前沒有公開的漏洞攻擊代碼，而且OpenSSL已及時(shí)發(fā)布補(bǔ)丁，這波漏洞的實(shí)際威脅會低于“心臟出血”。

OpenSSL官網(wǎng)公告顯示，本次OpenSSL團(tuán)隊(duì)發(fā)布的5個(gè)安全補(bǔ)丁主要修復(fù)CVE-2014-0224、CVE-2014-0221、CVE-2014-0195、CVE-2010-5298、CVE-2014-0198、CVE-2014-3470、CVE-2014-0076等七個(gè)漏洞，涉及多個(gè)OpenSSL版本。

其中，編號為CVE-2014-0195的OpenSSL漏洞可導(dǎo)致黑客遠(yuǎn)程執(zhí)行任意代碼，危害較大;編號為CVE-2014-0224漏洞則是潛伏16年的“中間人”漏洞。利用該漏洞，黑客可通過OpenSSL加密的流量發(fā)動“中間人”解密，直接竊聽流量中的內(nèi)容。不過，只有當(dāng)服務(wù)器和客戶端同時(shí)存在該漏洞、且正在互相通信時(shí)，黑客才可以解密竊聽流量中的內(nèi)容。

為了消除安全隱患，360提醒各大網(wǎng)站盡快升級相關(guān)OpenSSL版本。因?yàn)殡S著補(bǔ)丁的發(fā)布，黑客攻擊者會研究補(bǔ)丁制作漏洞攻擊工具，那些沒有及時(shí)打補(bǔ)丁的網(wǎng)站將面臨風(fēng)險(xiǎn)。

OpenSSL官網(wǎng)公告：http://www.openssl.org/news/

附：OpenSSL最新漏洞和修復(fù)信息

CVE-2014-0224：中間人欺騙(MITM)漏洞，影響客戶端(全版本)和服務(wù)端(1.0.1 and 1.0.2-beta1)。

建議：

OpenSSL 0.9.8 SSL/TLS users (client and/or server) 請更新到 0.9.8za.

OpenSSL 1.0.0 SSL/TLS users (client and/or server) 請更新到 1.0.0m.

OpenSSL 1.0.1 SSL/TLS users (client and/or server) 請更新到 1.0.1h.

CVE-2014-0221：拒絕服務(wù)漏洞，攻擊者可通過發(fā)送一個(gè)惡意的DTLS握手包，導(dǎo)致拒絕服務(wù)。

建議：

OpenSSL 0.9.8 DTLS用戶請更新到0.9.8za

OpenSSL 1.0.0 DTLS用戶請更新到1.0.0m.

OpenSSL 1.0.1 DTLS用戶請更新到1.0.1h.

CVE-2014-0195：任意代碼執(zhí)行漏洞，攻擊者可發(fā)送一個(gè)惡意的DTLS fragmetns到OpenSSL DTLS客戶端或服務(wù)端，將能夠在存在漏洞的客戶端或服務(wù)端引起任意代碼執(zhí)行。

建議：

OpenSSL 0.9.8 DTLS 用戶請更新到 0.9.8za

OpenSSL 1.0.0 DTLS 用戶請更新到 1.0.0m.

OpenSSL 1.0.1 DTLS 用戶請更新到 1.0.1h.

CVE-2014-0198：拒絕服務(wù)漏洞，do_ssl3_write()函數(shù)允許遠(yuǎn)程用戶通過一個(gè)空指針引用，這個(gè)漏洞僅僅影響OpenSSL 1.0.0和1.0.1當(dāng)SSL_MODE_RELEASE_BUFFERS開啟的環(huán)境(非默認(rèn)選項(xiàng))。

建議:

OpenSSL 1.0.0 用戶請更新到 1.0.0m.

OpenSSL 1.0.1 用戶請更新到 1.0.1h.

CVE-2010-5298：會話注入&拒絕服務(wù)漏洞，攻擊者利用ssl3_read_bytes 函數(shù)的競爭機(jī)制可以在會話之間注入數(shù)據(jù)或者使服務(wù)端拒絕服務(wù)。

此漏洞僅影響使用OpenSSL1.0.0多線程應(yīng)用程序和1.0.1，其中SSL_MODE_RELEASE_BUFFERS被啟用(不常見，并非默認(rèn)設(shè)置)。

CVE-2014-3470：拒絕服務(wù)漏洞，當(dāng)OpenSSL TLS客戶端啟用匿名ECDH密碼套件可能導(dǎo)致拒絕服務(wù)攻擊。

建議:

OpenSSL 0.9.8 用戶請更新到 0.9.8za

OpenSSL 1.0.0 用戶請更新到 1.0.0m.

OpenSSL 1.0.1 用戶請更新到 1.0.1h.

CVE-2014-0076：OpenSSL ECDSA 加密問題漏洞，OpenSSL 1.0.0l及之前版本中的Montgomery ladder實(shí)現(xiàn)過程中存在安全漏洞，該漏洞源于Elliptic Curve Digital Signature Algorithm (ECDSA)中存在錯(cuò)誤。遠(yuǎn)程攻擊者可通過FLUSH+RELOAD Cache旁道攻擊利用該漏洞獲取ECDSA隨機(jī)數(shù)值。

建議：

OpenSSL 1.0.0m and OpenSSL 0.9.8za 用戶請更新到 OpenSSL 1.0.1g.