漏洞信息 公告编号: GLSA 200912-01 发布日期: 2009年12月1日 最新修订: 2009年12月2日 受影响的包: dev-libs/openssl - 受影响的版本: = 0.9.8l-r2 严重性: normal 可利用性: remote 背景 OpenSSL 是一个实现安全套接字层 (SSL v2/v3) 和传输层安全 (TLS v1) 的开源工具包,同时也用作通用密码库。 描述 OpenSSL 中报告了多个漏洞: TLS 协议在处理会话重新协商请求时不当 (CVE-2009-3555)。 MD2 哈希算法不再被认为是密码学上足够强的,证书使用此算法将不再被接受 (CVE-2009-2409)。 DTLS 中的漏洞:use-after-free 错误 (CVE-2009-1379)、空指针引用错误 (CVE-2009-1387)、src/d1_both.c 中的多个内存泄漏 (CVE-2009-1378)、以及 ssl/d1_pkt.c 中与大量未来的 DTLS 记录相关的处理错误 (CVE-2009-1377)。 影响 远程未认证的攻击者可以注入任意明文到 TLS 会话中,可能允许发送请求就好像作为受害者认证一样。远程攻击者可以发送特别制作的 DTLS 包到使用 OpenSSL 作为 DTLS 支持的服务,可能导致拒绝服务。此外,远程攻击者可能能够创建伪造的证书,由 MD2 碰撞辅助。注意:进行这种攻击所需的计算量仍然非常大。 解决方案 所有 OpenSSL 用户应升级到最新版本: 参考资料 CVE-2009-1377 CVE-2009-1378 CVE-2009-1379 CVE-2009-1387 CVE-2009-2409 CVE-2009-3555