继今年4月,安全协议OpenSSL曝出严重的安全漏——OpenSSL Heartbleed心血漏洞,OpenSSL于日前(2014年6月5日)再次发布关于CVE-2014-0224的安全公告,发布了关于OpenSSL CCS漏洞的相关信息。
什么是OpenSSL CCS漏洞?
该漏洞是 OpenSSL ChangeCipherSpec 设计缺陷造成,被称为 CCS 注入漏洞。攻击者可以发起中间人攻击并利用此漏洞篡改或监听SSL加密传输的数据。
受影响的OpenSSL版本包括:
OpenSSL 1.0.1 through 1.0.1g
OpenSSL 1.0.0 through 1.0.0l
all versions before OpenSSL 0.9.8y
未影响版本:
OpenSSL 1.0.1h
OpenSSL 1.0.0m
OpenSSL 0.9.8za
-
小编不禁要问,这个OpenSSL为何经常都会有漏洞出现?四月份闹的沸沸扬扬的心血漏洞余温还没散去,六月又来一个。实在是有些应接不暇。漏洞该不会赶时髦,每个季度都给我们来个“新品发布”吧?
为了解决这个心中的疑惑,小编特地拜访了亚洲诚信®TrustAsia®的高级技术工程师Mike,一探究竟。
在聊天过程中,Mike详细分析了这个CCS注入漏洞。他说:“SSL握手过程中两端会发起ClientHello和ServerHello握手消息。在握手过程中双方会协商一些会话参数,如协议版本、加密套件、会话密钥等SSL协议中 允许双方在握手阶段通过使用ChangeCipherSpec(CCS)来修改连接的加密策略。”
他还表示,按照标准CCS消息应该是在握手加密参数协商完成之后最终确认消息发送之前来发送。但OpenSSL没有这么设计,它允许CCS消息在加密参数协商完成之前发送。
中间人攻击可以利用这点在一个SSL握手过程中向客户端和服务端分别发送一CCS包并用长度为零的预主密钥来协商会话密钥,这样攻击者就可以知道会话密钥并可以篡改或截获SSL通信数据。
精通网络信息技术的Mike用一段话把小编这个技术白痴给说的似懂非懂的。但是既然已经爆出了漏洞,就必须得将这个漏洞给修复了,不让这个漏洞形成任何破坏。
Mike对此却不以为然,他非常自信地告诉小编亚洲诚信®自行研发的SSL Cloud™云监测系统在漏洞爆发的第一时间,就将相关检测功能,添加了进去。用户可以直接通过此系统来检测是否受到此漏洞的威胁。即使受到此漏洞威胁也不必害怕,亚洲诚信®提供了非常有效的应对措施来修复此漏洞。