Debian系统中的OpenSSL漏洞主要包括以下几类:
伪随机数生成器(PRNG)漏洞:
2006年引入的PRNG漏洞:为了解决Valgrind和Purify工具的警告问题,一名Debian维护者注释掉了OpenSSL PRNG中的两行代码,这些代码负责抓取系统中的不可预测熵。这导致PRNG的种子值非常有限,只有32,767个选择,严重影响了依赖于OpenSSL随机数生成器的程序的随机性。心脏出血漏洞(Heartbleed):
2014年发现的漏洞:OpenSSL出现了一个名为“心脏出血”的安全漏洞,导致任何人都能读取系统的运行内存。这个漏洞影响了许多使用OpenSSL的服务器,暴露了大量的用户数据,包括用户名、密码、银行账号和保密的电子邮件等。可预测的随机数生成器漏洞:
2019年公告的漏洞:Debian安全公告DSA-1571-1指出,OpenSSL的PRNG存在可预测性,可能导致密码猜解等问题。官方建议OpenSSL 0.9.8c-1之后版本的用户重算加密体系。缓冲区读取过量和内存越界访问:
2024年Debian 12.8更新修复的漏洞:在Debian 12.8的更新中,OpenSSL进行了稳定性更新,消除了缓冲区读取过量和内存越界访问的安全隐忧。其他漏洞:
CVE-2023-0465:此漏洞涉及在使用非默认选项验证证书时,应用程序可能容易受到恶意CA的攻击,以规避某些检查。恶意CA可以利用此漏洞故意断言无效的证书策略,从而完全绕过证书策略检查。CVE-2016-2107:OpenSSL的AES-NI CBC MAC检查中的填充预言机攻击。CVE-2016-6304:证书消息越界读取。