OpenSSL 1.0.2 < 1.0.2k 多个漏洞

medium Nessus 插件 ID 96873

语言：

简介

远程服务受到多个漏洞的影响。

描述

远程主机上安装的 OpenSSL 版本低于 1.0.2k。因此，它受到公告 1.0.2k 中提及的多个漏洞影响。

- 在 1.0.2k 之前的 1.0.2 版和 1.1.0d 之前的 1.1.0 版 OpenSSL 中，x86_64 Montgomery 平方流程中存在进位传播缺陷。无 EC 算术受到影响。分析检测结果后发现，针对 RSA 和 DSA 的攻击难以执行，且可能性不高。由于推断私钥信息所需的大部分工作都可离线执行，针对 DH 的攻击则视为可行（尽管很难）。此类攻击所需的资源极大，可能仅限极少数的攻击者访问。在具有持久性 DH 参数且多个客户端共享私钥的情况下，攻击者还需要额外使用目标私钥，在线访问未经修复的系统。例如，在基于 OpenSSL DHE 的 SSL/TLS 密码套件中，默认会发生上述情况。注意：此问题与 CVE-2015-3193 非常相似，但必须作为单独问题处理。(CVE-2017-3732)

- 如果 SSL/TLS 服务器或客户端正在 32 位主机上运行，并且正在使用特定密码，则截断数据包就可以造成该服务器或客户端执行越界读取，通常会导致崩溃。对于 OpenSSL 1.1.0，使用 CHACHA20/POLY1305 时可能触发崩溃；用户应升级到 1.1.0d。对于 Openssl 1.0.2，使用 RC4-MD5 时可能触发崩溃；尚未禁用该算法的用户应更新到 1.0.2k。(CVE-2017-3731)

- OpenSSL 1.0.2 版本和 1.1.0c 之前的 1.1.0 版本中，Broadwell-specific Montgomery 乘法运算在处理可整除但大于 256 位的输入长度时存在进位传送错误。分析表明，针对 RSA、DSA 和 DH 私钥的攻击不可行。这是因为涉及到的子例程不会用于私钥本身和攻击者直接选择的输入的运算。否则，该错误会表现为暂时性身份验证和密钥协商失败，或使用特制输入的公钥操作的可复现错误结果。在 EC 算法中，仅有 Brainpool P-512 曲线会受到影响，该算法可能会攻击 ECDH 密钥协商。未详细分析影响，因为无法满足攻击的先决条件。即多个客户端必须选择相关曲线，且服务器必须在它们之间共享私钥，这两者都不是默认行为。即便满足上述条件，也只有选择该曲线的客户端会受到影响。(CVE-2016-7055)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。