Embedded Files
於OpenSSL過去經常發現的CVE漏洞,多數存在著讓遠端攻擊者可利用,會導致阻斷服務的情形或洩露敏感資料及繞過取得系統控制權限等問題,所以應經常檢視官方網站是否已針對發現之漏洞發佈相關版本更新,若有釋出新的版本,應儘速進行評估並進一步測試更新。
OpenSSL為一開源程式碼庫,主要提供網路上的安全通訊,當使用者瀏覽網路時,所瀏覽的網站或服務底層都使用了OpenSSL,可見其影響性。 為了確保系統不受這些漏洞的風險影響,以下是一些建議:
1.定期檢查 OpenSSL 的官方網站以獲取最新的安全公告和版本更新,官方網站通常會提供有關已修補的漏洞和發佈的新版本的相關資訊。
2.一旦有新版本釋出,請儘快評估該更新對您的系統的影響。在進行版本更新時,根據資通安全責任等級分級辦法的附表十資通系統防護基準表系統與服務獲得構面中,對於等級「中」和「高」以上的控制措施,建議在開發、測試和正式作業環境中進行區隔。因此在進行更新之前,應先在測試環境中進行更新測試,以確保更新後的系統的完整性和可用性。這樣可以降低更新可能引起的不可預期的問題,並確保系統在更新後能夠正常運作。
3.對於已公開的CVE漏洞,根據其嚴重程度和可能的影響,應優先關注可能導致系統完全失效或敏感資料洩露之重大漏洞,並儘快將漏洞修補以確保系統的安全性。
⬅️以這張圖可以看的出來在2014-2016年的漏洞數相較其他年度高,原因是在2014年,發生了一系列嚴重的"Heartbleed"漏洞事件,這個漏洞影響到了許多使用OpenSSL加密庫的系統和服務。
"Heartbleed"漏洞是由於OpenSSL庫中的一個程式錯誤造成的,攻擊者可以利用這個漏洞從遠程服務器中讀取敏感信息,包括私密的加密金鑰和用戶資料。這個漏洞被公開後引起了廣泛關注,因為它影響到了許多重要的網站和應用程序。這可能導致在2014年以後發現更多與OpenSSL相關的漏洞,
⬅️這張圖可以看的出來1999-2023年間Openssl各攻擊漏排名第一位:
Denial of Service(拒絕服務攻擊)
攻擊者通過向應用程序發送大量的請求或惡意數據,從而使應用程序無法正常運行。為了防止這種攻擊,開發人員需測試應用程序的性能和安全性,同時還需要實施限制和安全措施,以防止攻擊者進行拒絕服務攻擊。
表示Openssl的出現的漏洞,大都都會使服務癱瘓,有鑑於近來全球DoS攻擊正在升溫,建議用戶儘速更新為最新的版本。
👉Openssl最新版本:版本Downloads
🆕相關新聞
🆕相關新聞
Heartbleed是OpenSSL在TLS/DTLS傳輸安全層中的一個漏洞,是由OpenSSL函式庫的程式錯誤造成的,並非SSL/TLS協定本身的問題。OpenSSL是一個受歡迎的網路加密軟體函式庫,用於提供SSL/TLS加密傳輸的安全性,因此影響的程度甚大。
Heartbleed的影響範圍廣泛,可能讓駭客從伺服器或客戶端竊取敏感資訊,包括Gmail內容、金融交易資料和帳號密碼等原本由加密保護的資料。Heartbleed被認為是網路史上最嚴重的安全漏洞之一。受影響的軟體包括OpenSSL的1.0.1及1.0.2-beta版本,而一些內含OpenSSL的作業系統也受到影響。
👉OpenSSL官方已提出了修補 Heartbleed安全漏洞的方法,使用者應該儘快按照官方的建議進行修補以確保系統的安全。👈
Linux 系統 指令:
$openssl version
Windows 系統 指令:
$openssl version
(1) Google官方釋出訊息,因為OpenSSL出現漏洞攻擊者可能利用cve-2014-0224 安全漏洞發動攔截式攻擊 (MITM),針對受到攻擊的用戶端和伺服器解密及竄改流量。如果您的應用程式靜態連結至 OpenSSL 1.0.1h、1.0.0m 及 0.9.8za 以下版本,請儘快將您的應用程式升級至 OpenSSL 更新版本,並依照累加原則為升級的 APK 設定版本號碼。
(2) 開發人員請注意,如果您的應用程式靜態連結至 OpenSSL 1.0.2f/1.0.1r 以下版本,這些安全性漏洞包括「logjam」和 CVE-2015-3194,攔截式攻擊者可藉由 Logjam 攻擊將有安全性漏洞的 TLS 連線降級至 512 位元出口級加密。如此一來,攻擊者便可讀取及修改任何透過這個連線傳輸的資料。Google也呼籲開發人員請儘快將您的應用程式升至 OpenSSL 1.0.2f/1.0.1r 以上版本,並增加版本號碼。
(資料來源:如何修正應用程式中的 OpenSSL 安全性漏洞)
舉例相關CVE漏洞
舉例相關CVE漏洞
描述:The (1) TLS and (2) DTLS implementations in OpenSSL 1.0.1 before 1.0.1g do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information from process memory via crafted packets that trigger a buffer over-read, as demonstrated by reading private keys, related to d1_both.c and t1_lib.c, aka the Heartbleed bug.
⚠️此類攻擊可以允許遠程攻擊者獲取敏感信息 ⚠️
漏洞解決方案:
http-openssl-1_0_1-upgrade-1_0_1_g(版本更新)
描述:The BN_mod_sqrt() function, which computes a modular square root, contains a bug that can cause it to loop forever for non-prime moduli. Internally this function is used when parsing certificates that contain elliptic curve public keys in compressed form or explicit elliptic curve parameters with a base point encoded in compressed form. It is possible to trigger the infinite loop by crafting a certificate that has invalid explicit curve parameters. Since certificate parsing happens prior to verification of the certificate signature, any process that parses an externally supplied certificate may thus be subject to a denial of service attack.
⚠️此類攻擊駭客可以製作惡意憑證,利用該漏洞使目標系統無法提供服務 ⚠️
漏洞解決方案:
1、OpenSSL 1.0.2 用戶應升級到 1.0.2zd版本。
2、OpenSSL 1.1.1 用戶應升級到 1.1.1n版本。
3、OpenSSL 3.0 用戶應升級到 3.0.2版本。
Page updated
Report abuse