安全漏洞通告

类型

验证绕过漏洞

影响范围

OpenSSL

危害级别

高危

内容概述

OpenSSL安全验证绕过漏洞CVE-2018-0733

受影响版本：

OpenSSL Project OpenSSL 1.1

OpenSSL Project OpenSSL 1.1.0g

OpenSSL Project OpenSSL 1.1.0f

OpenSSL Project OpenSSL 1.1.0e

OpenSSL Project OpenSSL 1.1.0d

OpenSSL Project OpenSSL 1.1.0c

OpenSSL Project OpenSSL 1.1.0b

OpenSSL Project OpenSSL 1.1.0a

详细说明

OpenSSL 是一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。SSL能使用户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的，高层的应用层协议(例如：HTTP，FTP，TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

OpenSSL 1.1.0-1.1.0g版本中，PA-RISC CRYPTO_mencmp函数实现中存在安全漏洞，攻击者可通过精心构造的消息，绕过安全验证。由于该模块只能由HP-UX汇编器编译，所以，只有HP-UX PA-RISC目标受到影响。

处理方法和建议

1.漏洞修复： 

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.openssl.org/source/

OpenSSL 1.1.0用户应该升级到1.1.0h

2.参考链接：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0733