FreeBSD：FreeBSD -- 多個 OpenSSL 弱點 (7b1a4a27-600a-11e6-a6c3-14dae9d210b8) (DROWN)

critical Nessus Plugin ID 92921

語系：

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

發現一個跨通訊協定攻擊，使用支援 SSLv2 和 EXPORT 加密套件的伺服器做為 Bleichenbacher RSA padding oracle 時，可能會導致 TLS 工作階段解密。請注意，假設支援 SSLv2 和 EXPORT 加密 (即使是使用不同的通訊協定，例如 SMTP、IMAP 或 POP3) 的其他伺服器共用無弱點伺服器的 RSA 金鑰，則可以將用戶端和無弱點的伺服器之間的流量解密。此弱點稱為 DROWN。
[CVE-2016-0800]

當 OpenSSL 剖析格式錯誤的 DSA 私密金鑰時，發現一個重複釋放錯誤，而且對於從不受信任的來源接收 DSA 私密金鑰的應用程式，可能會導致 DoS 攻擊或記憶體損毀。
此為罕見狀況。[CVE-2016-0705]

SRP 使用者資料庫查閱方法 SRP_VBASE_get_by_user 包含令人混淆的記憶體管理語意；傳回的指標有時候是剛配置的，有時候則由被呼叫者所擁有。呼叫程式碼沒有方法可以區別這兩種情況。
[CVE-2016-0798]

在 BN_hex2bn 函式中，十六進位數的數目是使用 int 值 |i| 計算的。之後 |bn_expand| 是使用值 |i
* 4| 呼叫。對於大的 |i| 值，這可能會導致 |bn_expand| 未配置任何記憶體，因為 |i * 4| 是負的。這可能會將內部 BIGNUM 資料欄位保留為 NULL，進而導致後續的 NULL 指標解除參照。對於非常大的 |i| 值，計算 |i
* 4| 可能是小於 |i| 的正值。在此情況下，記憶體會配置到內部 BIGNUM 資料欄位，但是其大小不足，進而導致堆積損毀。在 BN_dec2bn 中存在類似的問題。如果具有非常大的不受信任十六進位/十進位資料的使用者應用程式曾經呼叫 BN_hex2bn/BN_dec2bn，這可能會有安全性後果。預計這是罕見的情況。[CVE-2016-0797]

計算字串長度時，在 BIO_*printf 函式中處理 '%s' 格式字串時使用的內部 |fmtstr| 函式可能會發生溢位，而且在列印非常長的字串時，可能會造成超出邊界讀取。[CVE-2016-0799]

發現一個利用 Intel Sandy-Bridge 微架構上的 cache-bank 衝突而發動的側通道攻擊，此攻擊可能會導致復原 RSA 金鑰。[CVE-2016-0702]

s2_srvr.c 未強制執行非匯出密碼的清除金鑰長度為 0。如果這些密碼的清除金鑰位元組存在，則會取代加密金鑰位元組。[CVE-2016-0703]

套用匯出加密套件的 Bleichenbacher 防護時，s2_srvr.c 會覆寫主要金鑰中錯誤的位元組。[CVE-2016-0704] 影響：已啟用 SSLv2 通訊協定的伺服器容易受到 'DROWN' 攻擊的影響，此攻擊可讓遠端攻擊者快速攻擊對伺服器建立的許多記錄的 TLS 連線，即使用戶端本身未建立任何 SSLv2 連線，亦是如此。

可將格式錯誤的 DSA 私密金鑰提供給 OpenSSL 應用程式的攻擊者可造成導致拒絕服務情形的記憶體損毀。[CVE-2016-0705]

使用無效使用者名稱連線的攻擊者可造成記憶體洩漏，最終可能會導致拒絕服務情形。
[CVE-2016-0798]

可將格式錯誤的資料插入應用程式的攻擊者可造成導致拒絕服務情形的記憶體損毀。[CVE-2016-0797、CVE-2016-0799]

對於在相同 hyper 執行緒核心上執行的執行緒，若本機攻擊者可控制其中的程式碼，並將其視為正在執行解密之受害者的執行緒，則可復原 RSA 金鑰。[CVE-2016-0702]

可攔截 SSLv2 交握的 eavesdropper 能夠發動有效的分治法金鑰復原攻擊，並使用伺服器做為 oracle 以判斷 SSLv2 主要金鑰，進而僅使用 16 個伺服器連線和可忽略的計算。[CVE-2016-0703]

攻擊者可使用 Bleichenbacher oracle，進而啟用更有效的 DROWN 攻擊變體。[CVE-2016-0704]