Debian系統中的OpenSSL漏洞主要包括以下幾類:
-
偽隨機數生成器(PRNG)漏洞:
- 2006年引入的PRNG漏洞:為了解決Valgrind和Purify工具的警告問題,一名Debian維護者注釋掉了OpenSSL PRNG中的兩行代碼,這些代碼負責抓取系統中的不可預測熵。這導致PRNG的種子值非常有限,只有32,767個選擇,嚴重影響了依賴于OpenSSL隨機數生成器的程序的隨機性。
-
心臟出血漏洞(Heartbleed):
- 2014年發現的漏洞:OpenSSL出現了一個名為“心臟出血”的安全漏洞,導致任何人都能讀取系統的運行內存。這個漏洞影響了許多使用OpenSSL的服務器,暴露了大量的用戶數據,包括用戶名、密碼、銀行賬號和保密的電子郵件等。
-
可預測的隨機數生成器漏洞:
- 2019年公告的漏洞:Debian安全公告DSA-1571-1指出,OpenSSL的PRNG存在可預測性,可能導致密碼猜解等問題。官方建議OpenSSL 0.9.8c-1之后版本的用戶重算加密體系。
-
緩沖區讀取過量和內存越界訪問:
- 2024年Debian 12.8更新修復的漏洞:在Debian 12.8的更新中,OpenSSL進行了穩定性更新,消除了緩沖區讀取過量和內存越界訪問的安全隱憂。
-
其他漏洞:
- CVE-2023-0465:此漏洞涉及在使用非默認選項驗證證書時,應用程序可能容易受到惡意CA的攻擊,以規避某些檢查。惡意CA可以利用此漏洞故意斷言無效的證書策略,從而完全繞過證書策略檢查。
- CVE-2016-2107:OpenSSL的AES-NI CBC MAC檢查中的填充預言機攻擊。
- CVE-2016-6304:證書消息越界讀取。