Splunk Enterprise 5.0.x < 5.0.13 / 6.0.x < 6.0.9 / 6.1.x < 6.1.8 OpenSSL 漏洞 (FREAK)

high Nessus 插件 ID 83992

简介

远程 Web 服务器正在运行受到多种漏洞影响的应用程序。

描述

根据其自我报告的版本号,远程 Web 服务器上托管的 Splunk Enterprise 为低于 5.0.13 的 5.0.x、低于 6.0.9 的 6.0.x 或低于 6.1.4 的 6.1.x。因此,它受到与包含的 OpenSSL 库有关的以下漏洞的影响:

- 由于支持密钥小于或等于 512 位的弱 EXPORT_RSA 加密套件,存在安全功能绕过漏洞(称为 FREAK,可对 RSA 出口级密钥进行分解攻击)。中间人攻击者可将 SSL/TLS 连接降级为使用能够在短时间内分解的 EXPORT_RSA 加密套件,从而允许攻击者拦截和解密流量。(CVE-2015-0204)

- 由于 SSL 对象中的状态在从一个调用到下一调用的过程中保持不变,DTLSv1_listen() 函数中存在缺陷。远程攻击者可利用此缺陷,通过特别构建的 DTLS 流量导致分段错误,从而导致拒绝服务。
(CVE-2015-0207)

- 由于未正确实现 ASN.1 签名验证,因而 rsa_item_verify() 函数中存在一个缺陷。
远程攻击者可利用此问题,通过使用 RSA PSS 算法和无效参数的 ASN.1 签名导致空指针取消引用,从而导致拒绝服务。(CVE-2015-0208)

- 由于在导入期间未正确处理畸形的 EC 私钥文件,因而 d2i_ECPrivateKey() 函数中存在释放后使用的情况。远程攻击者可利用此缺陷对已释放的内存进行取消引用或释放,从而导致拒绝服务或其他不明影响。(CVE-2015-0209)

- 由于在处理握手之前未正确验证 PRNG 种子,因而 ssl3_client_hello() 函数中存在缺陷,从而导致熵不足和输出可以预测。这允许中间人攻击者通过暴力破解加密保护机制,从而造成敏感信息泄露。(CVE-2015-0285)

- 由于未正确执行布尔类型比较,因而 ASN1_TYPE_cmp() 函数中存在一个无效读取缺陷。远程攻击者可利用此缺陷,通过构建的 X.509 证书攻击使用证书验证功能的端点,使读取操作无效,从而导致拒绝服务。
(CVE-2015-0286)

- 在 ASN.1 解析中重用结构时,由于对“CHOICE”和“ADB”数据结构的重新初始化失败,因而 ASN1_item_ex_d2i() 函数中存在一个缺陷。
这可使远程攻击者的写入操作无效并发生内存损坏,从而导致拒绝服务。(CVE-2015-0287)

- 由于未正确处理证书密钥,因而 X509_to_X509_REQ() 函数中存在一个空指针取消引用缺陷。这允许远程攻击者通过构建的 X.509 证书造成拒绝服务。(CVE-2015-0288)

- 由于未正确处理缺少的外部 ContentInfo,因而 PKCS#7 解析代码中存在一个空指针取消引用缺陷。这允许远程攻击者使用应用程序处理任意 PKCS#7 数据,并提供以 ASN.1 编码的畸形数据造成拒绝服务。(CVE-2015-0289)

- 由于未正确处理特定的非阻断 I/O 案例,因而 ssl3_write_bytes() 函数中的“多分块”功能存在一个缺陷。这可使远程攻击者连接失败或发生分段错误,从而导致拒绝服务。(CVE-2015-0290)

- 当处理客户端尝试使用无效的签名算法扩展进行重新协商的情况时,存在一个空指针取消引用缺陷。远程攻击者可利用此缺陷造成拒绝服务。
(CVE-2015-0291)

- 由于在解码 base 64 编码输入时验证不当,在 EVP_DecodeUpdate() 函数中存在整数下溢情况。这会允许远程攻击者使用恶意构建的 base64 数据引起分段错误或内存损坏,导致拒绝服务或可能执行任意代码。(CVE-2015-0292)

- 由于未正确实现 SSLv2,因而支持 SSLv2 并启用出口级加密套件的服务器中存在一个缺陷。远程攻击者可利用此问题,通过构建的 CLIENT-MASTER-KEY 消息造成拒绝服务。(CVE-2015-0293)

- 启用客户端认证和临时的 Diffie-Hellman 加密套件时,ssl3_get_client_key_exchange() 函数中存在一个缺陷。这允许远程攻击者通过长度为 0 的 ClientKeyExchange 消息造成拒绝服务。
(CVE-2015-1787)

请注意,Nessus 并未测试这些问题,而是只依赖于应用程序自我报告的版本号。

解决方案

升级到 Splunk Enterprise 5.0.13 / 6.0.9 / 6.1.8 或更高版本。

另见

https://www.splunk.com/view/SP-CAAAN4P

https://www.openssl.org/news/secadv/20150319.txt

https://www.smacktls.com/#freak

插件详情

严重性: High

ID: 83992

文件名: splunk_618.nasl

版本: 1.17

类型: remote

系列: CGI abuses

发布时间: 2015/6/4

最近更新时间: 2021/1/19

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:splunk:splunk

必需的 KB 项: installed_sw/Splunk

易利用性: No exploit is required

补丁发布日期: 2015/5/27

漏洞发布日期: 2014/5/6

参考资料信息

CVE: CVE-2015-0204, CVE-2015-0207, CVE-2015-0208, CVE-2015-0209, CVE-2015-0285, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0290, CVE-2015-0291, CVE-2015-0292, CVE-2015-0293, CVE-2015-1787

BID: 71936, 73225, 73226, 73227, 73228, 73229, 73230, 73231, 73232, 73234, 73235, 73237, 73238, 73239

CERT: 243585