Debian系統中的OpenSSL漏洞主要包括以下幾類:
-
偽隨機數生成器(PRNG)漏洞:
- 2006年引入的PRNG漏洞:為了解決Valgrind和Purify工具的警告問題��,一名Debian維護者注釋掉了OpenSSL PRNG中的兩行代碼����,這些代碼負責抓取系統中的不可預測熵���。這導致PRNG的種子值非常有限��,只有32,767個選擇�,嚴重影響了依賴于OpenSSL隨機數生成器的程序的隨機性����。
-
心臟出血漏洞(Heartbleed):
- 2014年發現的漏洞:OpenSSL出現了一個名為“心臟出血”的安全漏洞��,導致任何人都能讀取系統的運行內存���。這個漏洞影響了許多使用OpenSSL的服務器�,暴露了大量的用戶數據�����,包括用戶名����、密碼�����、銀行賬號和保密的電子郵件等����。
-
可預測的隨機數生成器漏洞:
- 2019年公告的漏洞:Debian安全公告DSA-1571-1指出����,OpenSSL的PRNG存在可預測性����,可能導致密碼猜解等問題����。官方建議OpenSSL 0.9.8c-1之后版本的用戶重算加密體系���。
-
緩沖區讀取過量和內存越界訪問:
- 2024年Debian 12.8更新修復的漏洞:在Debian 12.8的更新中��,OpenSSL進行了穩定性更新��,消除了緩沖區讀取過量和內存越界訪問的安全隱憂�。
-
其他漏洞:
- CVE-2023-0465:此漏洞涉及在使用非默認選項驗證證書時����,應用程序可能容易受到惡意CA的攻擊�,以規避某些檢查����。惡意CA可以利用此漏洞故意斷言無效的證書策略��,從而完全繞過證書策略檢查��。
- CVE-2016-2107:OpenSSL的AES-NI CBC MAC檢查中的填充預言機攻擊���。
- CVE-2016-6304:證書消息越界讀取�。
