免费加密库项目OpenSSL发布了 非常严重的 安全警告,并 发布了针对该漏洞的补丁,编号为CVE-2015-1793。 OpenSSL 是一种广泛使用的技术,它有助于在互联网上 为服务器和 最终用户设备传输数据时启用 SSL/TLS(安全套接字层/传输层安全性)加密协议。
漏洞披露 CVE-2015-1793,名为“替代链证书伪造”,表明攻击者可以冒充合法的数字安全证书。 SSL/TLS 数字证书证明特定网站和连接的真实性和有效性。
“如果在证书验证期间第一次尝试构建证书链失败,OpenSSL(自 1.0.1n 和 1.0.2b 版本起)将尝试寻找替代链。此逻辑实现中的一个错误可能允许攻击者绕过对无效证书的某些检查,例如证书颁发机构 (CA) 标志,从而允许他们使用合法的低级别证书作为 CA 并“颁发”假证书,”OpenSSL 项目在一份声明中解释道。
这意味着可以绕过 SSL/TLS 身份验证方案的完整性,而 SSL/TLS 身份验证方案是安全互联网交易的基础,如果攻击者知道这个漏洞,他们就能够利用它。
然而,CVE-2015-1793 不再是零日漏洞,因为 Google 员工已经为其创建了补丁。 OpenSSL 项目的公告指出,漏洞 CVE-2015-1793 是由谷歌安全研究人员 Adam Langley 和 David Benjamin 于 6 月 24 日报告的。这两位研究人员是谷歌 BoringSSL 项目的一部分,该项目自 2014 年 6 月开始运行。
谷歌对 OpenSSL 并不陌生,并且是 2014 年最早 马来西亚电报数据 发现 SSL 中的 Heartbleed 漏洞的公司之一。 Google 也是 OpenSSL 的主要用户,这就是它发起 BoringSSL 计划的原因。 BoringSSL 项目本质上是 OpenSSL 的一个分支,Google 将其更改(在本例中是安全修复)贡献给上游 OpenSSL 项目。
由于 CVE-2015-1793 问题是全新的,我还没有在 Metasploit 或其他已知渗透工具中发现任何可行的漏洞利用方法。鉴于我对 OpenSSL 的工作原理和 CVE-2015-1793 漏洞的细节了解不够专业,我认为很快就能将实验代码基于此缺陷转变为真正的武器。
问题的实质由此可见一斑。补丁已准备就绪,所有 OpenSSL 用户都可以安装更新。当然,这说起来容易做起来难。对于使用主要 Linux 供应商操作系统的 Linux 服务器用户来说,升级很容易,因为 Linux 发行版存储库中已经有可用的打包代码。确实,并非所有服务器管理员都足够快。此外,还有一些系统,例如 Apple OS X 和 Android 的各种版本,尚未创建补丁。这需要时间。