OpenSSL 已更新，修正了多個安全性問題和錯誤：

CVE-2016-0800 即「DROWN」攻擊 (bsc#968046)：OpenSSL 容易遭受跨通訊協定攻擊，使用支援 SSLv2 和 EXPORT 加密套件的伺服器做為 Bleichenbacher RSA padding oracle 時，可導致 TLS 工作階段解密。此更新會將 OpenSSL 程式庫變更為：

預設停用 SSLv2 通訊協定支援。這可透過設定環境變數「OPENSSL_ALLOW_SSL2」或利用使用 SSL_OP_NO_SSLv2 旗標的 SSL_CTX_clear_options 來覆寫。請注意，之前多種服務與用戶端已預設停用 SSL 通訊協定 2。

預設停用所有弱式 EXPORT 密碼。如果使用環境變數「OPENSSL_ALLOW_EXPORT」的舊版軟體有需要，可以重新啟用這些設定。

CVE-2016-0797 (bsc#968048)：BN_hex2bn() 與 BN_dec2bn() 函式中存在一個錯誤，可導致嘗試解除參照 NULL 指標，從而造成當機。如果具有大的不受信任十六進位/十進位資料的使用者應用程式曾經呼叫這些函式，這可能會產生安全性後果。此外，在 OpenSSL 內部使用這些函式也會使用組態檔或應用程式命令行引數中的資料。如果使用者開發的應用程式根據不受信任的資料產生組態檔資料，則這也會產生安全性後果。

CVE-2016-0799 (bsc#968374)：在許多 64 位元系統中，內部 fmtstr() 與 doapr_outch() 函式可能會錯誤計算字串的長度，並嘗試存取超出邊界記憶體位置。這些問題可讓攻擊者發動將大量不受信任的資料傳送至 BIO_*printf 函式的攻擊。如果應用程式以此方式使用這些函式，則可能容易遭受攻擊。OpenSSL 在列印人類看得懂的 ASN.1 資料轉儲存時會使用這些函式。因此，如果資料來自不受信任的來源，列印此資料的應用程式可能容易遭受攻擊。當 OpenSSL 命令行應用程式列印 ASN.1 資料，或將不受信任的資料作為命令行引數傳送時，也可能容易遭受攻擊。
不會將 Libssl 視為容易直接遭受攻擊。

CVE-2015-3197 (bsc#963415)：SSLv2 通訊協定未封鎖已停用的密碼。

CVE-2015-3195 (bsc#957812)：已修正 X509_ATTRIBUTE 記憶體洩漏問題。

已修正 openssl-CVE-2015-0287.patch 造成的迴歸問題 (bsc#937492)

請注意，2016 年 3 月 1 日的版本也參照下列 CVE，我們已將這些問題與 2015 版中的 CVE-2015-0293　一起進行了修正：

CVE-2016-0703 (bsc#968051)：此問題僅影響 2015 年 3 月 19 日之前的 OpenSSL，此時程式碼會重構以解決弱點 CVE-2015-0293。造成上述的「DROWN」攻擊可能更容易。

CVE-2016-0704 (bsc#968053)：「SSLv2 中的 Bleichenbacher oracle」此問題僅影響 2015 年 3 月 19 日之前的 OpenSSL，此時程式碼會重構以解決弱點 CVE-2015-0293。造成上述的「DROWN」攻擊可能更容易。

請注意，Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

此 compat-openssl098 更新可修正多種安全性問題和錯誤：

修正的安全性問題：

- CVE-2016-0800 即「DROWN」攻擊 (bsc#968046)：
OpenSSL 容易遭受跨通訊協定攻擊，透過使用支援 SSLv2 和 EXPORT 加密套件的伺服器做為 Bleichenbacher RSA padding oracle，可導致 TLS 工作階段解密。

此更新會將 openssl 程式庫變更為：

- 預設停用 SSLv2 通訊協定支援。

這可透過設定環境變數「OPENSSL_ALLOW_SSL2」或利用使用 SSL_OP_NO_SSLv2 旗標的 SSL_CTX_clear_options 來覆寫。

請注意，之前多種服務與用戶端已預設停用 SSL 通訊協定 2。

- 預設停用所有弱式 EXPORT 密碼。如果使用環境變數「OPENSSL_ALLOW_EXPORT」的舊版軟體有需要，這些設定可以重新啟用。

- CVE-2016-0797 (bnc#968048)：BN_hex2bn() 與 BN_dec2bn() 函式中存在一個錯誤，可導致嘗試解除參照 NULL 指標的情況造成損毀。如果具有大的不受信任十六進位/十進位資料的使用者應用程式曾經呼叫這些函式，這可能會產生安全性後果。此外，在 OpenSSL 內部使用這些函式也會使用組態檔或應用程式命令行引數中的資料。如果使用者開發的應用程式根據不受信任的資料產生組態檔資料，則這也會產生安全性後果。

- CVE-2016-0799 (bnc#968374) 在許多 64 位元系統中，內部 fmtstr() 與 doapr_outch() 函式可能會錯誤計算字串的長度，並嘗試存取超出邊界記憶體位置。這些問題可讓攻擊者發動將大量不受信任的資料傳送至 BIO_*printf 函式的攻擊。
 如果應用程式以此方式使用這些函式，則可能容易遭受攻擊。OpenSSL 在列印人類看得懂的 ASN.1 資料轉儲存時會使用這些函式。因此，如果資料來自不受信任的來源，列印此資料的應用程式可能容易遭受攻擊。當 OpenSSL 命令行應用程式列印 ASN.1 資料，或將不受信任的資料作為命令行引數傳送時，也可能容易遭受攻擊。不會將 Libssl 視為容易直接遭受攻擊。

- CVE-2015-3197 (bsc#963415)：SSLv2 通訊協定未封鎖已停用的密碼。

請注意，2016 年 3 月 1 日的版本也參照下列 CVE，我們已將這些問題與 2015 版中的 CVE-2015-0293　一起進行了修正：

- CVE-2016-0703 (bsc#968051)：此問題僅影響 2015 年 3 月 19 日之前的 OpenSSL，此時程式碼會重構以解決弱點 CVE-2015-0293。造成上述的「DROWN」攻擊可能更容易。

- CVE-2016-0704 (bsc#968053)：「SSLv2 中的 Bleichenbacher oracle」此問題僅影響 2015 年 3 月 19 日之前的 OpenSSL，此時程式碼會重構以解決弱點 CVE-2015-0293。造成上述的「DROWN」攻擊可能更容易。

下列錯誤也已修正：

- 避免執行 OPENSSL_config 兩次。此可避免中斷引擎載入，並且修正 libssl 中的記憶體洩漏。
 (bsc#952871)

此更新是從 SUSE:SLE-12:Update 更新專案匯入。

遠端 Oracle Linux 7 主機中安裝的套件受到 ELSA-2016-0722 公告中提及的多個弱點影響。

    - 修正 CVE-2016-2105 - base64 編碼中的潛在溢位
    - 修正 CVE-2016-2106 - EVP_EncryptUpdate 中潛在的溢位問題
    - 修正 CVE-2016-2107 - 已修補之 AES-NI CBC-MAC 中的 padding oracle
    - 修正 CVE-2016-2108 - ASN.1 編碼器中的記憶體損毀
    - 修正 CVE-2016-2109 - 從 BIO 讀取 ASN.1 資料時可能發生的 DoS

Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

現已提供適用於 Red Hat Enterprise Linux 7 的 openssl 更新。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

OpenSSL 不但是實作「安全通訊端層」(SSL) 和「傳輸層安全性」(TLS) 通訊協定的工具組，還是一套完整的通用密碼編譯程式庫。

安全性修正：

* 在 OpenSSL 編碼特定 ASN.1 資料結構的方式中，發現一個瑕疵。攻擊者可利用此瑕疵建立特製的憑證，當 OpenSSL 驗證或重新編碼時，可造成其損毀，或使用執行針對 OpenSSL 程式庫編譯之應用程式的使用者權限執行任意程式碼。(CVE-2016-2108)

* 在 OpenSSL 的 EVP_EncodeUpdate() 和 EVP_EncryptUpdate() 函式剖析極大量輸入資料的方式中，發現兩個整數溢位瑕疵，其可導致緩衝區溢位。遠端攻擊者可利用這些瑕疵，造成使用 OpenSSL 的應用程式損毀，或可能以執行該應用程式的使用者權限來執行任意程式碼。(CVE-2016-2105、CVE-2016-2106)

* 據發現，在連線使用 AES CBC 加密套件且伺服器支援 AES-NI 的情況下，解密 TLS/SSL 和 DTLS OpenSSL 通訊協定加密的記錄時，OpenSSL 會洩漏計時資訊。遠端攻擊者可能利用此瑕疵，將 TLS/SSL 或 DTLS 伺服器作為 Padding Oracle 使用，進而擷取來自加密封包的純文字。(CVE-2016-2107)

* 在 OpenSSL 內實作 BIO_*printf 函式的方式中發現數個瑕疵。透過這些函式傳送大量未受信任資料的應用程式可損毀，或可能以執行此類應用程式的使用者權限執行程式碼。(CVE-2016-0799、CVE-2016-2842)

* OpenSSL 對於來自 BIO (OpenSSL 的 I/O 提取) 輸入的特定 ASN.1 加密資料，所用的剖析方式有一個拒絕服務瑕疵。可強制使用 OpenSSL 並接受未受信任 ASN.1 BIO 輸入的應用程式配置過量資料。(CVE-2016-2109)

Red Hat 要感謝 OpenSSL 專案報告 CVE-2016-2108、CVE-2016-2842、CVE-2016-2105、CVE-2016-2106、CVE-2016-2107 和 CVE-2016-0799。上游確認 Huzaifa Sidhpurwala (Red Hat)、Hanno Bock 與 David Benjamin (Google) 為 CVE-2016-2108 的原始報告者，Guido Vranken 為 CVE-2016-2842、CVE-2016-2105、CVE-2016-2106 與 CVE-2016-0799 的原始報告者；Juraj Somorovsky 為 CVE-2016-2107 的原始報告者。

現已提供適用於 Red Hat Enterprise Linux 6 的 openssl 更新。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

OpenSSL 不但是實作「安全通訊端層」(SSL) 和「傳輸層安全性」(TLS) 通訊協定的工具組，還是一套完整的通用密碼編譯程式庫。

安全性修正：

* 在 OpenSSL 編碼特定 ASN.1 資料結構的方式中，發現一個瑕疵。攻擊者可利用此瑕疵建立特製的憑證，當 OpenSSL 驗證或重新編碼時，可造成其損毀，或使用執行針對 OpenSSL 程式庫編譯之應用程式的使用者權限執行任意程式碼。(CVE-2016-2108)

* 在 OpenSSL 的 EVP_EncodeUpdate() 和 EVP_EncryptUpdate() 函式剖析極大量輸入資料的方式中，發現兩個整數溢位瑕疵，其可導致緩衝區溢位。遠端攻擊者可利用這些瑕疵，造成使用 OpenSSL 的應用程式損毀，或可能以執行該應用程式的使用者權限來執行任意程式碼。(CVE-2016-2105、CVE-2016-2106)

* 據發現，在連線使用 AES CBC 加密套件且伺服器支援 AES-NI 的情況下，解密 TLS/SSL 和 DTLS OpenSSL 通訊協定加密的記錄時，OpenSSL 會洩漏計時資訊。遠端攻擊者可能利用此瑕疵，將 TLS/SSL 或 DTLS 伺服器作為 Padding Oracle 使用，進而擷取來自加密封包的純文字。(CVE-2016-2107)

* 在 OpenSSL 內實作 BIO_*printf 函式的方式中發現數個瑕疵。透過這些函式傳送大量未受信任資料的應用程式可損毀，或可能以執行此類應用程式的使用者權限執行程式碼。(CVE-2016-0799、CVE-2016-2842)

* OpenSSL 對於來自 BIO (OpenSSL 的 I/O 提取) 輸入的特定 ASN.1 加密資料，所用的剖析方式有一個拒絕服務瑕疵。可強制使用 OpenSSL 並接受未受信任 ASN.1 BIO 輸入的應用程式配置過量資料。(CVE-2016-2109)

Red Hat 要感謝 OpenSSL 專案報告 CVE-2016-2108、CVE-2016-2842、CVE-2016-2105、CVE-2016-2106、CVE-2016-2107 和 CVE-2016-0799。上游確認 Huzaifa Sidhpurwala (Red Hat)、Hanno Bock 與 David Benjamin (Google) 為 CVE-2016-2108 的原始報告者，Guido Vranken 為 CVE-2016-2842、CVE-2016-2105、CVE-2016-2106 與 CVE-2016-0799 的原始報告者；Juraj Somorovsky 為 CVE-2016-2107 的原始報告者。

遠端主機上安裝的 Oracle Secure Global Desktop 版本為 4.63、4.71 版或 5.2 版，且缺少 2016 年 7 月重大修補程式更新 (CPU) 中的一個安全性修補程式。因此受到以下弱點影響：

- X Server 子元件的 read_packet() 函式中存在一個整數溢位情形，這是因為計算處理傳回資料所需的記憶體量時，不當驗證使用者提供的輸入所導致。遠端攻擊者可惡意利用此弱點，藉此引發拒絕服務情形或執行任意程式碼。請注意，此弱點只會影響 4.71 和 5.2 版。(CVE-2013-2064)

- x86_64 Montgomery 平方實作的 OpenSSL 子元件中存在一個可能使 BN_mod_exp() 函式產生不正確結果的攜帶傳播瑕疵。攻擊者可加以惡意利用，取得私密金鑰的相關敏感資訊。(CVE-2015-3193)

- 處理使用 RSA PSS 演算法但缺少遮罩產生函式參數的 ASN.1 簽章時，OpenSSL 子元件的 rsa_ameth.c 檔案中存在一個 NULL 指標解除參照瑕疵。遠端攻擊者可利用此問題使簽章驗證常式當機，進而引發拒絕服務。(CVE-2015-3194)

- OpenSSL 子元件中存在一個金鑰洩漏弱點，這是因不當處理 Intel Sandy-bridge 微架構上的 cache-bank 衝突所致。
 攻擊者可惡意利用此弱點，取得 RSA 金鑰資訊的存取權。(CVE-2016-0702)

- OpenSSL 子元件的 BN_hex2bn() 與 BN_dec2bn() 函式中存在一個 NULL 指標解除參照瑕疵。遠端攻擊者可惡意利用此問題觸發堆積損毀，進而導致任意程式碼執行。(CVE-2016-0797)

- OpenSSL 子元件中存在多個記憶體損毀問題，可允許遠端攻擊者造成拒絕服務情形或執行任意程式碼。(CVE-2016-0799)

- 在 OpenSSL 子元件中，檔案 crypto/evp/encode.c 內的 EVP_EncodeUpdate() 函式存在一個堆積緩衝區溢位情形，處理大量輸入資料時會觸發此情形。未經驗證的遠端攻擊者可加以惡意利用，進而引發拒絕服務情形。(CVE-2016-2105)

- 在 OpenSSL 子元件中，crypto/evp/e_aes_cbc_hmac_sha1.c 檔案中的 aesni_cbc_hmac_sha1_cipher() 函式及 crypto/evp/e_aes_cbc_hmac_sha256.c 檔案中的 aesni_cbc_hmac_sha256_cipher() 函式存在多個瑕疵，連線使用 AES-CBC 密碼，且伺服器支援 AES-NI 時，可觸發這些瑕疵。攔截式攻擊者可惡意利用這些弱點，發動 padding oracle 攻擊，進而解密網路流量。
 (CVE-2016-2107)

- OpenSSL 子元件中存在一個不明瑕疵，其可允許遠端攻擊者執行任意程式碼。(CVE-2016-3613)

根據其標題，遠端 Web 伺服器上主控的 HP System Management Homepage (SMH) 版本受到以下弱點影響：

- Apache HTTP Server 中存在一個拒絕服務弱點，這是因為缺少 mod_reqtimeout 模組所導致。未經驗證的遠端攻擊者可惡意利用此弱點，透過部分 HTTP 要求的飽和，造成程序中斷。(CVE-2007-6750)

- 使用 location.hash 選取元素時，jQuery 中存在一個跨網站指令碼 (XSS) 弱點。未經驗證的遠端攻擊者可惡意利用此弱點，透過特製的標籤，將任意指令碼或 HTML 插入使用者的瀏覽器工作階段。
 (CVE-2011-4969)

- rsa_ameth.c 檔案中存在一個 NULL 指標解除參照瑕疵，這是因為不當處理缺少 PSS 參數的 ASN.1 簽章所導致。遠端攻擊者可惡意利用此問題使簽章驗證常式損毀，進而導致拒絕服務情形。(CVE-2015-3194)

- tasn_dec.c 檔案中的 ASN1_TFLG_COMBINE 實作存有一個瑕疵，與處理格式有誤之 X509_ATTRIBUTE 結構有關。遠端攻擊者可能利用此弱點，透過觸發 PKCS#7 或 CMS 應用程式中的解碼錯誤來造成記憶體洩漏，進而導致拒絕服務。(CVE-2015-3195)

- cURL 和 libcurl 的 smb_request_state() 函式中存在一個超出邊界讀取錯誤，這是因為不當的邊界檢查所導致。未經驗證的遠端攻擊者可惡意利用此錯誤，使用惡意的 SMB 伺服器以及特製的長度和位移值，洩漏敏感記憶體資訊或造成拒絕服務情形。(CVE-2015-3237)

- libxslt 之檔案 preproc.c 內的 xsltStylePreCompute() 函式中存在一個瑕疵，這是因為無法檢查父節點是否為元素所導致。未經驗證的遠端攻擊者可惡意利用此瑕疵，透過特製的 XML 檔案造成拒絕服務情形。(CVE-2015-7995)

- 處理 xz 壓縮的 XML 內容時，檔案 xzlib.c 內的 xz_decomp() 函式中存在一個無限迴圈情形，這是因為無法偵測壓縮錯誤所導致。未經驗證的遠端攻擊者可惡意利用此問題，透過特製的 XML 資料造成拒絕服務情形。(CVE-2015-8035)

- 存在一個重複釋放錯誤，這是因剖析格式錯誤的 DSA 私密金鑰時不當驗證使用者提供的輸入所致。遠端攻擊者可利用此問題損毀記憶體，從而引發拒絕服務情形，或是執行任意程式碼。(CVE-2016-0705)

- 列印非常長的字串時，檔案 crypto/bio/b_print.c 內的 fmtstr() 函式中存在一個超出邊界讀取錯誤，這是因為無法正確計算字串長度所導致。未經驗證的遠端攻擊者可惡意利用此問題，透過長字串造成拒絕服務情形，大量 ASN.1 資料即為一例。(CVE-2016-0799)

- 存在一個不明瑕疵，其允許本機攻擊者影響系統的機密性和完整性。目前尚無其他詳細資料可以提供。(CVE-2016-2015)

- 檔案 crypto/bio/b_print.c 內的 doapr_outch() 函式中存在一個瑕疵，這是因為無法驗證特定記憶體配置是否成功所導致。未經驗證的遠端攻擊者可惡意利用此問題，透過長字串造成拒絕服務情形，大量 ASN.1 資料即為一例。(CVE-2016-2842)

在 OpenSSL (一款安全通訊端層工具組) 中發現數個弱點。

- CVE-2016-0702 University of Adelaide 和 NICTA 的 Yuval Yarom 與 Technion 和 Tel Aviv Universityand 的 Daniel Genkin，以及 University of Pennsylvania 的 Nadia Heninger 發現側通道攻擊，其可利用 Intel Sandy-Bridge 微架構上的 cache-bank 衝突進行攻擊。這會允許本機攻擊者復原 RSA 私密金鑰。

- CVE-2016-0705 Google 的 Adam Langley 在剖析格式錯誤的 DSA 私密金鑰時發現一個重複釋放錯誤。這可能會允許遠端攻擊者在應用程式剖析從未受信任來源收到的 DSA 私密金鑰時，造成拒絕服務或記憶體損毀。

- CVE-2016-0797 Guido Vranken 在 BN_hex2bn 和 BN_dec2bn 函式中發現一個整數溢位，這可能會導致發生 NULL 指標解除參照和堆積損毀。這會允許遠端攻擊者在應用程式處理從未受信任來源收到的 hex 和 dec 資料時，造成拒絕服務或記憶體損毀。

- CVE-2016-0798 OpenSSL 開發團隊的 Emilia Kasper 在 SRP 資料庫查閱程式碼中發現一個記憶體洩漏問題。若要減輕記憶體洩漏問題，即使使用者已設定種子，也要立即停用 SRP_VBASE_get_by_user 中的種子處理。建議將應用程式移轉至 SRP_VBASE_get1_by_user 函式。

- CVE-2016-0799、CVE-2016-2842 Guido Vranken 在 BIO_*printf 函式中發現一個整數溢位，可能會在列印長字串時導致 OOB 讀取。此外，內部 doapr_outch 函式可能會在記憶體配置失敗時，嘗試寫入一個任意記憶體位置。這些問題只會在 sizeof(size_t) > sizeof(int) 的平台 (例如許多 64 位元系統) 上發生。這會允許遠端攻擊者在將大量未受信任資料傳送至 BIO_*printf 函式的應用程式中，造成拒絕服務或記憶體損毀。

此外，EXPORT 和 LOW 加密已經停用，因為在進行 DROWN (CVE-2016-0800 ) 和 SLOTH (CVE-2015-7575 ) 攻擊時可能會利用它們，但請注意，舊的穩定發行版本 (wheezy) 和穩定發行版本 (jessie) 不會受到那些攻擊影響，因為 1.0.0c-2 版的 openssl 套件已經捨棄 SSLv2 通訊協定。

此 openssl 更新可修正多種安全性問題：

修正的安全性問題：

- CVE-2016-0800 即「DROWN」攻擊 (bsc#968046)：
OpenSSL 容易遭受跨通訊協定攻擊，透過使用支援 SSLv2 和 EXPORT 加密套件的伺服器做為 Bleichenbacher RSA padding oracle，可導致 TLS 工作階段解密。

此更新會將 openssl 程式庫變更為：

- 預設停用 SSLv2 通訊協定支援。

這可透過設定環境變數「OPENSSL_ALLOW_SSL2」或利用使用 SSL_OP_NO_SSLv2 旗標的 SSL_CTX_clear_options 來覆寫。

請注意，之前多種服務與用戶端已預設停用 SSL 通訊協定 2。

- 預設停用所有弱式 EXPORT 密碼。如果使用環境變數「OPENSSL_ALLOW_EXPORT」的舊版軟體有需要，這些設定可以重新啟用。

- CVE-2016-0702 即「CacheBleed」攻擊。(bsc#968050) 已新增模組化指數程式碼中的多種變更，以確保無法透過在 Intel Sandy-Bridge 微架構上分析 cache-bank 衝突來復原 RSA 私密金鑰。

請注意，只有在與執行解密的受害者執行緒相同的 hyper 執行緒 Intel Sandy Bridge 處理器上執行惡意程式碼時，才能惡意利用此弱點。

- CVE-2016-0705 (bnc#968047)：已修正 DSA ASN1 剖析器程式碼中的重複 free() 錯誤，其可遭濫用來發動拒絕服務攻擊。

- CVE-2016-0797 (bnc#968048)：BN_hex2bn() 與 BN_dec2bn() 函式中存在一個錯誤，可導致嘗試解除參照 NULL 指標的情況造成損毀。如果具有大的不受信任十六進位/十進位資料的使用者應用程式曾經呼叫這些函式，這可能會產生安全性後果。此外，在 OpenSSL 內部使用這些函式也會使用組態檔或應用程式命令行引數中的資料。如果使用者開發的應用程式根據不受信任的資料產生組態檔資料，則這也會產生安全性後果。

- CVE-2016-0798 (bnc#968265) SRP 使用者資料庫查閱方法 SRP_VBASE_get_by_user() 存在一個記憶體洩漏情形，攻擊者可濫用此弱點來發動 DoS 攻擊。若要減輕此問題，即使使用者已設定種子，也要停用 SRP_VBASE_get_by_user() 中的種子處理。建議將應用程式移轉至 SRP_VBASE_get1_by_user()。

- CVE-2016-0799 (bnc#968374) 在許多 64 位元系統中，內部 fmtstr() 與 doapr_outch() 函式可能會錯誤計算字串的長度，並嘗試存取超出邊界記憶體位置。這些問題可讓攻擊者發動將大量不受信任的資料傳送至 BIO_*printf 函式的攻擊。
 如果應用程式以此方式使用這些函式，則可能容易遭受攻擊。OpenSSL 在列印人類看得懂的 ASN.1 資料轉儲存時會使用這些函式。因此，如果資料來自不受信任的來源，列印此資料的應用程式可能容易遭受攻擊。當 OpenSSL 命令行應用程式列印 ASN.1 資料，或將不受信任的資料作為命令行引數傳送時，也可能容易遭受攻擊。不會將 Libssl 視為容易直接遭受攻擊。

- CVE-2015-3197 (bsc#963415)：SSLv2 通訊協定未封鎖已停用的密碼。

請注意，2016 年 3 月 1 日的版本也參照下列 CVE，我們已將這些問題與 2015 版中的 CVE-2015-0293　一起進行了修正：

- CVE-2016-0703 (bsc#968051)：此問題僅影響 2015 年 3 月 19 日之前的 OpenSSL，此時程式碼會重構以解決弱點 CVE-2015-0293。造成上述的「DROWN」攻擊可能更容易。

- CVE-2016-0704 (bsc#968053)：「SSLv2 中的 Bleichenbacher oracle」此問題僅影響 2015 年 3 月 19 日之前的 OpenSSL，此時程式碼會重構以解決弱點 CVE-2015-0293。造成上述的「DROWN」攻擊可能更容易。

下列錯誤也已經修正：

- 確保當非 FIPS 演算法在 FIPS 模式中執行並進行交涉時，OpenSSL 不會回復至預設的摘要演算法 (SHA1)。OpenSSL 將會改為重複使用此工作階段。(bnc#958501)

請注意，Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

遠端主機上安裝的 OpenSSL 為 1.0.2g 之前版本。因此，它會受到 1.0.2g 公告中所提及的多個弱點影響。

  - OpenSSL 1.0.1s 之前版本、OpenSSL 1.0.2g 之前的 1.0.2 版以及其他產品所使用的 SSLv2 通訊協定都必須先由伺服器傳送 ServerVerify 訊息，然後才能確立某個用戶端負責處理某些純文字 RSA 資料，這讓遠端攻擊者能更輕易地利用 Bleichenbacher RSA padding oracle 來解密 TLS 加密文字，此種攻擊又稱為「DROWN」攻擊。(CVE-2016-0800)

  - 在 1.0.1s 之前的 1.0.1 版和 1.0.2g 之前的 1.0.2 版 OpenSSL 中，crypto/bio/b_print.c 的 fmtstr 函式未正確計算字串長度，進而允許遠端攻擊者透過長字串，造成拒絕服務 (溢位和超出邊界讀取) 或可能造成其他不明影響，大量 ASN.1 資料即為一例，此弱點與 CVE-2016-2842 不同。(CVE-2016-0799)

  - 在 OpenSSL 1.0.1s 之前的 1.0.1 版和 1.0.2g 之前的 1.0.2 版中，SRP_VBASE_get_by_user 實作中包含記憶體流失弱點，因此遠端攻擊者可以在連線嘗試中提供無效的使用者名稱，進而造成拒絕服務 (記憶體消耗)。此問題與 apps/s_server.c 和 crypto/srp/srp_vfy.c 相關。(CVE-2016-0798)

  - OpenSSL 1.0.1s 之前的 1.0.1 版和 1.0.2g 之前的 1.0.2 版存在多個整數溢位問題，因此遠端攻擊者可以透過 (1) BN_dec2bn 或 (2) BN_hex2bn 函式會錯誤處理的長數字字串來造成拒絕服務 (堆積記憶體損毀或 NULL 指標解除參照)，也可能造成其他不明影響。此問題與 crypto/bn/bn.h 和 crypto/bn/bn_print.c 有關。(CVE-2016-0797)

  - 在 OpenSSL 1.0.1 至 1.0.1s 版及 1.0.2 至 1.0.2g 版中，crypto/dsa/dsa_ameth.c 的 dsa_priv_decode 函式內有雙重釋放弱點，進而允許遠端攻擊者透過格式錯誤的 DSA 私密金鑰，造成拒絕服務 (記憶體損毀) 或其他不明影響。(CVE-2016-0705)

  - 在 OpenSSL 1.0.1s 之前的 1.0.1 版和 1.0.2g 之前的 1.0.2 版中，crypto/bn/bn_exp.c 中的 MOD_EXP_CTIME_COPY_FROM_PREBUF 函式在模組化乘冪期間未正確考慮 cache-bank 存取次數，因此本機使用者可以更輕易地在與受害者相同的 Intel Sandy Bridge CPU 核心上執行特製的應用程式並運用 cache-bank 衝突，藉此探索 RSA 金鑰，即「CacheBleed」攻擊。
    (CVE-2016-0702)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Slackware 13.0、13.1、13.37、14.0、14.1 和最新版本有最新的 openssl 套件，可修正安全性問題。

遠端 AIX 主機上安裝的 OpenSSL 版本受到下列弱點影響：

- 存在一個金鑰洩漏弱點，這是因不當處理 Intel Sandy-bridge 微架構上的 cache-bank 衝突所致。攻擊者可惡意利用此弱點，取得 RSA 金鑰資訊的存取權。
 (CVE-2016-0702)

- 存在一個重複釋放錯誤，這是因剖析格式錯誤的 DSA 私密金鑰時不當驗證使用者提供的輸入所致。遠端攻擊者可利用此問題損毀記憶體，從而引發拒絕服務情形，或是執行任意程式碼。(CVE-2016-0705)

- BN_hex2bn() 與 BN_dec2bn() 函式中存在一個 NULL 指標解除參照瑕疵。遠端攻擊者可惡意利用此問題觸發堆積損毀，進而導致任意程式碼執行。(CVE-2016-0797)

- 存在一個拒絕服務弱點，這是因不當處理無效使用者名稱所導致。遠端攻擊者可惡意利用此問題，透過特製的使用者名稱於每次連線時洩漏 300 位元組的記憶體，進而耗盡可用的記憶體資源。(CVE-2016-0798)

- 存在多個記憶體損毀問題，可允許遠端攻擊者造成拒絕服務情形或執行任意程式碼。(CVE-2016-0799)

- 存在一個瑕疵，其允許產生跨通訊協定 Bleichenbacher padding oracle 攻擊，這又稱為 DROWN (使用過時與減弱的 eNcryption 解密 RSA)。
 存在此弱點是因為安全通訊端層第 2 版 (SSLv2) 實作中的一個瑕疵所致，其可允許解密擷取的 TLS 流量。攔截式攻擊者可惡意利用此問題，利用之前擷取的流量與較弱的密碼編譯，加上對於使用相同私密金鑰之 SSLv2 伺服器的一系列特製連線，來解密 TLS 連線。(CVE-2016-0800)

- 存在一個拒絕服務弱點，這是因為不當驗證由檔案 crypto/bio/b_print.c 中的 doapr_outch() 函式配置的記憶體所導致。遠端攻擊者可惡意利用此弱點，透過特製的字串，超出邊界寫入資料或耗盡記憶體資源，或者可能有其他不明影響。(CVE-2016-2842)

遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式：

- 修正 CVE-2016-2105 - base64 編碼中的潛在溢位

- 修正 CVE-2016-2106 - EVP_EncryptUpdate 中的潛在溢位

- 修正 CVE-2016-2107 - 已修補之 AES-NI CBC-MAC 中的 padding oracle

- 修正 CVE-2016-2108 - ASN.1 編碼器中的記憶體損毀

- 修正 CVE-2016-2109 - 從 BIO 讀取 ASN.1 資料時可能發生的 DoS

- 修正 CVE-2016-0799 - BIO_printf 中的記憶體問題

- 修正 CVE-2016-0702 - 模組化乘冪上的側通道攻擊

- 修正 CVE-2016-0705 - DSA 私密金鑰剖析中的重複釋放

- 修正 CVE-2016-0797 - Bn_hex2bn 和 Bn_dec2bn 中的堆積損毀

- 修正 CVE-2015-3197 - SSLv2 加密套件強制執行

- 停用泛型 TLS 方法中的 SSLv2

- 修正 pkcs12 剖析中的 1 個位元組記憶體洩漏 (#1229871)

- 記錄 speed 命令的部分選項 (#1197095)

- 修正時間戳記授權單位中的高精確度時間戳記

- 修正 CVE-2015-7575 - 不允許在 TLS1.2 中使用 MD5

- 修正 CVE-2015-3194 - 因遺漏 PSS 參數而導致憑證驗證損毀

- 修正 CVE-2015-3195 - X509_ATTRIBUTE 記憶體洩漏

- 修正 CVE-2015-3196 - 處理 PSK 身分提示時發生爭用情形

Versions of OpenSSL prior to 1.0.1s, or 1.0.2g are unpatched for the following vulnerabilities :

 - A flaw exists in the 'SRP_VBASE_get_by_user' method in the SRP Server 'apps/s_server.c' that is triggered when handling invalid usernames. With a specially crafted username, a remote attacker can cause the service to leak 300 bytes of memory per connection, exhausting available memory resources.(
 - A flaw exists in the 'doapr_outch()' function in 'crypto/bio/b_print.c' that is triggered when failing to allocate memory, as the function's return value has no way to signal this error to a calling function. This may allow a context-dependent attacker to corrupt memory and crash a process linked against the library or potentially execute arbitrary code.
 - An out-of-bounds read flaw exists in the 'fmtstr()' function in 'crypto/bio/b_print.c' that is triggered when printing very long strings. This may allow a context-dependent attacker to crash a process linked against the library or to disclose memory contents.
 - A NULL pointer dereference flaw exists in the 'BN_hex2bn()' and 'BN_dec2bn()' functions in 'crypto/bn/bn_print.c'. This may allow a context-dependent attacker to trigger a heap corruption, potentially allowing the execution of arbitrary code.
 - SSLv2 contains a flaw in its implementation, allowing for a cross-protocol Bleichenbacher padding oracle attack (an adaptive chosen-ciphertext attack). Such an attack may allow a man-in-the-middle attacker to decrypt intercepted TLS connections via a series of specially crafted connections to an SSLv2 server that uses the same private key. The monitored connections required to conduct this attack can use any version of the SSL or TLS protocols, including TLS 1.2, as long as they all use the same RSA key exchange method. With each connection, the server response will vary enough so as to leak information to the attacker about the secret keys in use for the victim TLS connection. This information can in turn be used to eventually decrypt the entire TLS connection and gain access to all plaintext traffic between the victim and server.
 - A double-free flaw exists that is triggered as user-supplied input is not properly validated when parsing malformed DSA private keys. This may allow an attacker to corrupt memory to cause a denial of service or potentially execute arbitrary code.
 - A side-channel attack exists that is triggered during the handling of the cache-bank conflicts on the Intel Sandy-bridge microarchitecture. This may allow an attacker to gain access to RSA key information.
 - A flaw exists in 's2_srvr.c' that is triggered as it does not properly enforce that the 'clear-key-length' is 0 for non-export ciphers. This may allow an attacker to displace encrypted-key bytes if clear-key bytes are present for these ciphers, which can allow the attacker to gain access to SSLv2 master-key information.
 - A flaw exists in 's2_srvr.c' that is triggered when the incorrect bytes in the master-key are overwritten during the application of Bleichenbacher protection mechanisms for export cipher suites. This may allow an attacker to potentially execute more efficient variants of the DROWN attack.

The fmtstr function in crypto/bio/b_print.c in OpenSSL 1.0.1 before 1.0.1s and 1.0.2 before 1.0.2g improperly calculates string lengths, which allows remote attackers to cause a denial of service (overflow and out-of-bounds read) or possibly have unspecified other impact via a long string, as demonstrated by a large amount of ASN.1 data, a different vulnerability than CVE-2016-2842.

This plugin only works with Tenable.ot.
Please visit https://www.tenable.com/products/tenable-ot for more information.

Versions of OpenSSL prior to 1.0.1s, or 1.0.2g are unpatched for the following vulnerabilities :

According to its banner, the remote host is running a version of OpenSSL 1.0.2 prior to 1.0.2g. It is, therefore, affected by the following vulnerabilities :

  - A key disclosure vulnerability exists due to improper handling of cache-bank conflicts on the Intel Sandy-bridge microarchitecture. An attacker can exploit this to gain access to RSA key information. (CVE-2016-0702)

  - A double-free error exists due to improper validation of user-supplied input when parsing malformed DSA private keys. A remote attacker can exploit this to corrupt memory, resulting in a denial of service condition or the execution of arbitrary code. (CVE-2016-0705)

  - A NULL pointer dereference flaw exists in the BN_hex2bn() and BN_dec2bn() functions. A remote attacker can exploit this to trigger a heap corruption, resulting in the execution of arbitrary code. (CVE-2016-0797)

  - A denial of service vulnerability exists due to improper handling of invalid usernames. A remote attacker can exploit this, via a specially crafted username, to leak 300 bytes of memory per connection, exhausting available memory resources. (CVE-2016-0798)

  - Multiple memory corruption issues exist that allow a remote attacker to cause a denial of service condition or the execution of arbitrary code. (CVE-2016-0799)

  - A flaw exists that allows a cross-protocol Bleichenbacher padding oracle attack known as DROWN (Decrypting RSA with Obsolete and Weakened eNcryption). This vulnerability exists due to a flaw in the Secure Sockets Layer Version 2 (SSLv2) implementation, and it allows captured TLS traffic to be decrypted. A man-in-the-middle attacker can exploit this to decrypt the TSL connection by utilizing previously captured traffic and weak cryptography along with a series of specially crafted connections to an SSLv2 server that uses the same private key. (CVE-2016-0800)

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
89731	SUSE SLES10 安全性更新：OpenSSL (SUSE-SU-2016:0678-1) (DROWN)	Nessus	SuSE Local Security Checks	2016/3/8	2021/1/6	critical
89910	openSUSE 安全性更新：openssl (openSUSE-2016-327) (DROWN)	Nessus	SuSE Local Security Checks	2016/3/14	2021/1/19	critical
91029	Oracle Linux 7：openssl (ELSA-2016-0722)	Nessus	Oracle Linux Local Security Checks	2016/5/11	2025/4/29	critical
91033	RHEL 7 : openssl (RHSA-2016:0722)	Nessus	Red Hat Local Security Checks	2016/5/11	2019/10/24	critical
91037	RHEL 6 : openssl (RHSA-2016:0996)	Nessus	Red Hat Local Security Checks	2016/5/11	2019/10/24	critical
92543	Oracle Secure Global Desktop 多個弱點 (2016 年 7 月 CPU)	Nessus	Misc.	2016/7/25	2021/10/25	critical
91222	HP System Management Homepage 多個弱點 (HPSBMU03593)	Nessus	Web Servers	2016/5/18	2022/4/11	critical
89061	Debian DSA-3500-1：openssl - 安全性更新	Nessus	Debian Local Security Checks	2016/3/2	2021/1/11	critical
89077	SUSE SLED12 / SLES12 安全性更新：openssl (SUSE-SU-2016:0620-1) (DROWN)	Nessus	SuSE Local Security Checks	2016/3/2	2021/1/6	critical
89082	OpenSSL 1.0.2 < 1.0.2g 多個弱點	Nessus	Web Servers	2016/3/2	2024/10/23	critical
89085	Slackware 13.0 / 13.1 / 13.37 / 14.0 / 14.1 / 最新版本：openssl (SSA:2016-062-02) (DROWN)	Nessus	Slackware Local Security Checks	2016/3/3	2021/1/14	critical
90448	AIX OpenSSL 公告：openssl_advisory18.asc / openssl_advisory19.asc (DROWN)	Nessus	AIX Local Security Checks	2016/4/13	2023/4/21	critical
91154	OracleVM 3.3 / 3.4：openssl (OVMSA-2016-0049) (SLOTH)	Nessus	OracleVM Local Security Checks	2016/5/16	2021/1/4	critical
9128	OpenSSL 1.0.1 < 1.0.1s / 1.0.2 < 1.0.2g Multiple Vulnerabilities (DROWN)	Nessus Network Monitor	Web Servers	2016/3/1	2019/3/6	medium
503079	Siemens SCALANCE X-200RNA Switch Devices Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2016-0799)	Tenable OT Security	Tenable.ot	2025/3/13	2025/3/13	critical
801963	OpenSSL 1.0.1 < 1.0.1s / 1.0.2 < 1.0.2g Multiple Vulnerabilities (DROWN)	Log Correlation Engine	Web Servers	2016/3/7		medium

检测

插件搜索

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

medium

critical

medium