OpenSSL 1.0.2 < 1.0.2k 多個弱點

medium Nessus Plugin ID 96873

語言:

概要

遠端服務受到多種弱點的影響。

說明

遠端主機上安裝的 OpenSSL 為 1.0.2k 之前版本。因此，它會受到 1.0.2k 公告中所提及的多個弱點影響。

- 在 OpenSSL 1.0.2 的 1.0.2k 之前版本以及 1.1.0 的 1.1.0d 之前版本中，x86_64 Montgomery 平方程序中有一個進位傳播錯誤。EC 演算法未受到影響。分析資料指出，因此缺陷而對 RSA 與 DSA 所發動的攻擊極難執行，而且可能性不高。對 DH 發動攻擊是可行的 (但難度極高)，因為推算私密金鑰相關資訊所需的多數工作可以於離線執行。此類攻擊所需的資源量極大，而且只限極少數的攻擊者可以存取。在具有持續 DH 參數且多個用戶端共用一組私密金鑰的情況下，攻擊者還需額外使用目標私密金鑰，於線上存取未經修補的系統。例如，以 OpenSSL DHE 為主的 SSL/TLS 加密套件的預設設定就會造成上述狀況發生。注意：此問題與 CVE-2015-3193 十分類似，但需視為不同的問題予以處理。(CVE-2017-3732)

- 如果 SSL/TLS 伺服器或用戶端在 32 位元的主機上執行且使用特定的加密，則截斷的封包可能造成伺服器端或用戶端執行超出邊界讀取，這種情況往往會導致當機。若使用 OpenSSL 1.1.0 版，則使用 CHACHA20/POLY1305 時會觸發當機；使用者應升級為 1.1.0d 版。若使用 OpenSSL 1.0.2 版，則使用 RC4-MD5 時會觸發當機；未停用該演算法的使用者應升級為 1.0.2k 版。(CVE-2017-3731)

- 在 OpenSSL 1.0.2 版和 1.1.0c 之前的 1.1.0 版中，Broadwell 特定的 Montgomery 乘法程序有進位傳播錯誤，此錯誤發生在輸入長度可整除但超過 256 位元時。分析師表示，不可能發生對 RSA、DSA 和 DH 私密金鑰展開攻擊的情況。這是因為本身即有私密金鑰的運算式並未使用上述有問題的副程式，攻擊者也並未直接選擇輸入上述副程式。否則，此錯誤可能導致暫時性驗證與金鑰交涉失敗，或使用特製輸入的公開金鑰操作的可重現錯誤結果。在諸多 EC 演算法中，只有 Brainpool P-512 曲線受到影響，其中一條曲線可能會攻擊 ECDH 金鑰交涉。未詳細分析影響的原因在於，無法滿足攻擊的各項先決條件。也就是說，多個用戶端必須選擇有問題的曲線，且伺服器必須在它們之間共用私密金鑰，這兩者都不是預設行為。即使如此，也只有選擇曲線的用戶端會受到影響。(CVE-2016-7055)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。