FreeBSD：FreeBSD -- 多种 OpenSSL 漏洞 (7b1a4a27-600a-11e6-a6c3-14dae9d210b8) (DROWN)

critical Nessus 插件 ID 92921

语言：

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

发现一个跨协议攻击，使用支持 SSLv2 和 EXPORT 加密套件的服务器作为 Bleichenbacher RSA padding oracle 时，可导致 TLS 会话解密。请注意，假设支持 SSLv2 和 EXPORT 加密（即使是使用不同的协议，例如 SMTP、IMAP 或 POP3）的其他服务器共享无漏洞服务器的 RSA 密钥，也可以将客户端和无漏洞服务器之间的流量解密。此漏洞称为 DROWN。
[CVE-2016-0800]

当 OpenSSL 解析畸形的 DSA 私钥时，发现一个双重释放缺陷，如果应用程序从不受信任的来源接收 DSA 私钥，可能会遭致 DoS 攻击或造成内存损坏。
这种情况比较罕见。[CVE-2016-0705]

SRP 用户数据库查找方法 SRP_VBASE_get_by_user 包含容易混淆的内存管理语义；有时返回刚分配的指针，有时返回由被调用者占有的指针。调用代码无法区别这两种情况。
[CVE-2016-0798]

在 BN_hex2bn 函数中，十六进制数使用 int 值 |i| 计算。之后，通过值 |i
* 4| 调用 |bn_expand|。对于大的 |i| 值，这可能会导致 |bn_expand| 不分配任何内存，因为 |i * 4| 是负的。这可能将内部 BIGNUM 数据字段变为空字段，进而导致空指针取消引用。对于非常大的 |i| 值，计算 |i
* 4| 的结果可能是小于 |i| 的正值。在这种情况下，即使向内部 BIGNUM 数据字段分配内存，也会因大小不足而导致堆损坏。在 BN_dec2bn 中存在类似的问题。如果用户的应用程序有不受信任的十六进制/十进制数据且数据值非常大，则调用 BN_hex2bn/BN_dec2bn 时可能会引发安全问题。据预计，这种情况比较罕见。[CVE-2016-0797]

在 BIO_*printf 函数中处理“%s”格式字符串时，计算字符串长度所用的内部 |fmtstr| 函数可能会发生溢出，打印非常长的字符串又可能造成越界读取。[CVE-2016-0799]

发现一个利用 Intel Sandy-Bridge 微架构上的 cache-bank 冲突而发动的边信道攻击，此攻击可能会导致恢复 RSA 密钥。[CVE-2016-0702]

s2_srvr.c 未强制执行“非出口级加密的清除密钥长度为 0”这一设置。如果这些密码存在清除密钥字节，则会取代加密密钥字节。[CVE-2016-0703]

应用出口级加密套件的 Bleichenbacher 防护机制时，s2_srvr.c 错误地覆盖主要密钥中的某些字节。[CVE-2016-0704] 影响：已启用 SSLv2 协议的服务器容易受到“DROWN”攻击的影响，此攻击可让远程攻击者对服务器快速建立大量有记录的 TLS 连接，即使客户端本身未建立任何 SSLv2 连接，亦是如此。

能够将畸形的 DSA 私钥输入 OpenSSL 应用程序的攻击者可造成内存损坏，进而导致拒绝服务。[CVE-2016-0705]

使用无效用户名连接的攻击者可造成内存泄漏，最终可能会导致拒绝服务。
[CVE-2016-0798]

能够将畸形的数据注入应用程序的攻击者可造成内存损坏，进而导致拒绝服务。[CVE-2016-0797、CVE-2016-0799]

对于 hyper 线程核心中运行的线程，若攻击者可控制其中的代码，当受害者的线程也在同一个核心中执行解密操作时，即可借机恢复 RSA 私钥。[CVE-2016-0702]

可拦截 SSLv2 握手的 eavesdropper 能够发动有效的分治法密钥复原攻击，仅需使用 16 个服务器连接和微乎其微的计算量，即可将服务器作为 oracle 来判断 SSLv2 主要密钥。[CVE-2016-0703]

攻击者可使用 Bleichenbacher oracle，进而启用更有效的 DROWN 攻击变体。[CVE-2016-0704]