OpenSSL 发布补丁修复已发现的 8 个安全漏洞

OpenSSL 发布了新的补丁版本 1.0.1k, 1.0.0p 和 0.9.8zd,这三个版本主要是为了修复刚刚发现的 8 个 OpenSSL 安全漏洞

下载地址:

OpenSSL 1.0.1j 正式发布

OpenSSL 1.0.1j 发布,此版本现已提供下载,更新内容如下:

  • [高] SRTP Memory Leak (CVE-2014-3513)

  • [中] Session Ticket Memory Leak (CVE-2014-3567)

  • [中] SSL 3.0 Fallback protection

  • [低] Build option no-ssl3 is incomplete (CVE-2014-3568)

详情请看这里

OpenSSL包含一个命令行工具用来完成OpenSSL库中的所有功能,更好的是,它可能已经安装到你的系统中了。

OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不应该只将其作为一个库来使用,它还是一个多用途的、跨平台的密码工具。

php开启openssl的方法

windows下开启方法:

1: 首先检查php.ini中;extension=php_openssl.dll是否存在, 如果存在的话去掉前面的注释符‘;’, 如果不存在这行,那么添加extension=php_openssl.dll。

2: 讲php文件夹下的: php_openssl.dll, ssleay32.dll, libeay32.dll 3个文件拷贝到 WINDOWS\system32\  文件夹下。

3: 重启apache或者iis

至此,openssl功能就开启了。

Linux下开启方法:

我使用的是锦尚数据的云主机,PHP版本:5.2.14

下面方案就以我的主机为例讲解为PHP添加openssl模块支持。

网上一些答案说要重新编译PHP,添加configure参数,增加openssl的支持。这里讲一个不需要重新编译的方法。

如果服务器上存在PHP安装包文件最好,如果已经删除,去下载和phpinfo页面显示版本一样的PHP安装文件,我这里是 php-5.2.14.tar.gz

推荐去搜狐镜像下载,网易镜像没有找到。地址为: http://mirrors.sohu.com/php/

用ssh工具连接到主机。

# 下载到/var/www/php5目录下

cd /var/www/php5

wget http://mirrors.sohu.com/php/php-5.2.14.tar.gz

# 解压

tar zxvf php-5.2.14.tar.gz

# 进入PHP的openssl扩展模块目录

cd php-5.2.14/ext/openssl/

/var/www/php5/bin/phpize # 这里为你自己的phpize路径,如果找不到,使用whereis phpize查找

# 执行后,发现错误 无法找到config.m4 ,config0.m4就是config.m4。直接重命名

mv config0.m4 config.m4

/var/www/php5/bin/phpize

./configure –with-openssl –with-php-config=/var/www/php5/bin/php-config

make

make install

# 安装完成后,会返回一个.so文件(openssl.so)的目录。在此目录下把openssl.so 文件拷贝到你在php.ini 中指定的 extension_dir 下(在php.ini文件中查找:extension_dir =),我这里的目录是 var/www/php5/lib/php/extensions

# 编辑php.ini文件,在文件最后添加

extension=openssl.so

# 重启Apache即可

/usr/local/apache2/bin/apachectl restart

好了,现在就成功添加openssl支持。

OpenSSL又爆严重漏洞 CCS注入漏洞已存15年

  OpenSSL基金会发布安全公告,修补6项安全漏洞,其中两项SANS网络安全中心列为重大漏洞,一项可能导致远程执行任意程序,另一项则可能让黑客透过中间人攻击(man-in-the-middle, MITM)窃听SSL加密联机内容,该漏洞并已存在超过15年。安全人员也将此一漏洞称之为「CCS注入漏洞」(CCS Injection Vulnerability)。

  此次公布的六个漏洞中最引人注目的是由日本安全研究人员Masashi Kikuchi所通报的 CVE-2014-0224,这项「SSL/TLS中间人攻击漏洞」(SSL/TLS MITM)可能导致OpenSSL在终端及服务器进行TLS handshake时不当接受ChangeCiperSpec (CCS),使黑客得以用来破解SSL及TLS流量,甚至修改其中内容,因此安全研究人员也称它为「CCS注入漏洞」。

  CVE-2014-0195是属于「DTLS无效片断漏洞」(DTLS invalid fragment),可能让黑客得以传送无效的DTLS片段到OpenSSL DTLS客户端及服务器,藉此发动缓冲溢位(buffer over)攻击,并由远程执行任意程序代码,因此被SANS列为重大漏洞。

  Google安全研究人员Adam Langley 说明CVE-2014-0224指出,OpenSSL网站上最旧的程序代码是1998年12月28日的0.9.1c ,而受影响的程序代码几乎都没变更过,因此这个臭虫可能已经存在超过15年。

  不过在一些因缘巧合之下,除了服务器端及客户端都要同时存在漏洞之外,只有服务器上的OpenSSL是1.01版之后才会受到中间人攻击。Adam Langley分析整个攻击模式指出,整个机制相当复杂,但主因在于当初他修补了1.01版的漏洞时修改了Finished值的计算方式。但他也表示,不晓得黑客还会找出一些如何利用该漏洞的创意方式。

  好消息是,这些攻击除了需要找到中间人模式的位置,而且不具有OpenSSL的客户端都不会受到影响,例如桌面版及iOS版的IE、Firefox、Chrome,以及Safari等浏览器。

  这项漏洞已经透过更新修补。OpenSSL基金会建议不管是服务器端或是使用者端的使用者,都应将OpenSSL 0.9.8 SSL/TLS升级到0.9.8za, OpenSSL 1.0.0 SSL/TLS升级到 1.0.0m,而OpenSSL 1.0.1 SSL/TLS则应升级至1.0.1h。这些更新也同时修补了OpenSSL函式库中三项可能导致DLS 联机DoS攻击及远程执行程序代码的漏洞。

  据有关专家说,服务器端与客户端都使用该OpenSSL漏洞的软件时,才会发生被窃听的风险,不像先前HeartBleed漏洞,只要服务器端使用openSSL就会发生问题遭骇。徐念恩表示,例如Andrdoi版Chrome浏览器就使用了有此漏洞的OpenSSL程,因此,他建议改用其他手机浏览器来降低危险。Google也紧急更新Chrome for Android内建的OpenSSL程序版本,推出35.0.1916.141新版本,预计最近几天会发布到各国Google Play市场。

  OpenSSL安全公告指出,只有在客户端及服务器端同时都安装有瑕疵的软件时才会发生上述攻击。这项漏洞影响所有OpenSSL客户端,以及安装OpenSSL 1.0.1及1.0.20 beta1版的服务器。OpenSSL 1.0.1.释出时间为2012年3月。但安全人员建议OpenSSL1.0.1之前版本用户最好也升级到最新版本。