安全通告: openssl (SA-09:02.openssl)

主題:          OpenSSL incorrectly checks for malformed signatures
r4W,p"fj.o@p(C分類:          coreBSD爱好者乐园1_-K;}
px}-X%k*~
模組:          openssl
9N)Y%d?&LY$W發布時間:     2009-01-07BSD爱好者乐园 @~2_d5C/i g.I
影響版本:     所有FreeBSD版本BSD爱好者乐园!iVIUIb'X
修正版本:     2009-01-07 21:03:41 UTC (RELENG_7, 7.1-STABLE)BSD爱好者乐园@{!F-E!|]iz
                2009-01-07 20:17:55 UTC (RELENG_7_1, 7.1-RELEASE-p1)
d7@\&x&aL                2009-01-07 20:17:55 UTC (RELENG_7_0, 7.0-RELEASE-p8)BSD爱好者乐园2R7Y5N{5e wM6oQ
                2009-01-07 20:17:55 UTC (RELENG_6, 6.4-STABLE)
['u(l?Qb5I6{                2009-01-07 20:17:55 UTC (RELENG_6_4, 6.4-RELEASE-p2)
y|H#S`(re ]2i|                2009-01-07 20:17:55 UTC (RELENG_6_3, 6.3-RELEASE-p8)BSD爱好者乐园Z3B(B7K.Q5Ih2DV;g
I.   相關背景資料BSD爱好者乐园 ~!Z+xDBs
OpenSSL Project 是一個用來建立強大的商業的加密協定, 主要在 Secure Socket Layer(SSL v2/v3)BSD爱好者乐园8G7i[X8P
和傳輸層的安全(TLS v1)協定上,是一個完整且強大的通用加密涵式庫
(kyGV.xFS7J
$jL]cL?KzZ/lII.  問題描述BSD爱好者乐园 T1ku cw"?+rP
OpenSSL的EVP_VerifyFinal() function被用來確定數位特徵是否有效
Fx;fc9^%s5NOpenSSL的SSL layer使用EVP_VerifyFinal()在許多地方來檢查回傳值是否正確,會因此造成認證誤判.
TP5p2g.Z0n],R這個問題只針對 DSA 和 ECDSA 金鑰.
b0S4Z7Bg)z ^]7N8MK.rBSD爱好者乐园4[
_%}7o&oM!W'go
III. 影響
.Taf-IJS~所有使用OpenSSl用來做為SSL連結的應用程式皆有可能因此誤判認證.
O4J
_&kgXAa可能會被攻擊者以 man-in-the-middle 的攻擊手法所使用.BSD爱好者乐园6{R5t-| p.j
其他應用程式使用OpenSSL EVP API 亦可能被感染
8\}#F&v&wBSD爱好者乐园i#a ?$] a?O `-K2}
IV. 替代方案
i?Pc#U t e使用RSA認證替代DSA或ECDSA認證.BSD爱好者乐园e F4|
~/x
注意: Mozilla Firefox未使用OpenSSL,因此不受影響.BSD爱好者乐园/C5Qq+H!y?2c

@ mF%jVV.   解決方案
K(lc;H'Edy以下方案則一即可:BSD爱好者乐园*@oZr,s[
BSD爱好者乐园.hh(OcN4D1z
1) 更新受威脅的系統至 6-STABLE, 或 7-STABLE, 或至 RELENG_7_1, RELENG_7_0, RELENG_6_4,或 RELENG_6_3 (需要在此漏洞發布時間後的版本).BSD爱好者乐园-kj[XH8c k

!_5v(i(W%oO?6G2) 修補現有系統 :BSD爱好者乐园}f{P0Ff"D|

p'rwc*J4Mi以下修補檔案僅測試在以下版本 FreeBSD 6.3, 6.4,7.0, 和 7.1 版本.
-_AY~m K%oF5W
%Ts$q&n.\ o7a&N[FreeBSD 7.x]
[t(?;LY"?${# fetchhttp://security.FreeBSD.org/patches/SA-09:02/openssl.patchBSD爱好者乐园{Wo"U"vf3{z

+k$X{3~5E4T qhs.V[FreeBSD 6.x]
^B4zm[!q"^n'J# fetchhttp://security.FreeBSD.org/patches/SA-09:02/openssl6.patch
3i;mPp8x5^7x$ZBSD爱好者乐园 ~G:Og.X#t
b) 以root身分 執行下列命令BSD爱好者乐园4[}-kFV{ M
BSD爱好者乐园fkY7]JV
# cd /usr/srcBSD爱好者乐园R-Xw!t5]T
# patch < /path/to/patch
`0e7b8D*U2k# cd /usr/src/secure/lib/libsslBSD爱好者乐园%CV8_0Z}6Q5Zc"g|
# make obj && make depend && make && make install
uRs2^8E'y1_o&g# cd /usr/src/secure/usr.bin/opensslBSD爱好者乐园0l;__T&{/?"El
# make obj && make depend && make && make install
?o,G'pX4KG
f;gA E{注意:BSD爱好者乐园 M#drC dU@
在amd64平台 上述執行將不會更新lib32(i386 compatibility)函式.BSD爱好者乐园e)KC:zd'T|l"v
在amd64平台若使用i386 compatibility函式,請依照handbook上所提及的方式重新編譯
7p/O5aE.[c4N!JQM

p/x#{(~K3mphttp://www.FreeBSD.org/handbook/makeworld.html 
[版权声明]BSD爱好者乐园站内文章，如来源不是互联网，则均系原创或翻译之作，可随意转载，或以此为基础进行演译，但务必以链接形式注明原始出处和作者信息，否则属于侵权行为。另对本站转载他处文章，俱有说明，如有侵权请联系本人，本人将会在第一时间删除侵权文章。
TAG: OpenSSL openssl