密文填塞漏洞
所有文档

          SSL证书服务 CAS

          密文填塞漏洞

          在OpenSSL官方(2016/5/3)发布的安全公告中,公开了新的高危漏洞CVE-2016-2107。虽然此漏洞的利用难度很高,但是一旦在实际中被利用,可以窃取到用户数据、凭据、财务和个人信息。

          漏洞情况分析

          (CVE-2016-2107):“密文填塞”(Padding Oracle)漏洞

          OpenSSL公布的说明中这样说,“只要网络连接采用的是AES-CBC密码和支持AES-NI的服务器,那么MITM攻击者就可以使用Padding Oracle攻击解密通信。”

          据安全公司High-Tech Bridge进行的一项分析显示,Alexa排名前10000的网站中有许多易受到MITM攻击,与1829家顶级网站(占比18.29%)相连的网络和邮件服务器都是脆弱易感的。

          漏洞利用难度很苛刻

          这是一种中间人攻击的方式,攻击者首先要满足中间人攻击能达成的以下条件:

          • 能控制受害者进行多次通信连接
          • 能在受害者明文头部添加数据(加密前)
          • 能修改受害者明文数据(加密前)
          • 能截断和修改受害者发送的密文
          • 能获得服务器返回的数据

          检测方式

          可使用在线漏洞检测工具,一键检测您的站点是否存在漏洞:

          Padding Oracle漏洞处理建议

          受影响版本:

          • OpenSSL 1.0.2 < 1.0.2h
          • OpenSSL 1.0.1 < 1.0.1t
          • OpenSSL 1.0.0
          • OpenSSL 0.9.8

          将 openssl 升级到以下版本可修复漏洞:

          • OpenSSL 1.0.2用户需更新到1.0.2h 。
          • OpenSSL 1.0.1用户需更新到1.0.1t 。

          使用包管理系统的用户可以直接更新到2016年5月3日之后的版本。

          特别注意!

          • 升级前请做好测试。
          • OpenSSL官方已停止对 0.9.8和 1.0.0 两个版本的升级维护,请使用这两个版本的用户将其升级至 1.0.2h 版本。
          上一篇
          检测OpenSSL-DROWN漏洞
          下一篇
          OpenSSL-CCS注入漏洞修复方案