中危 openssl 安全绕过漏洞

CVE编号

CVE-2008-5077

利用情况

暂无

补丁情况

没有补丁

披露时间

2009-01-08
漏洞描述
OpenSSL 0.9.8i及更早版本未正确检查EVP_VerifyFinal函数的返回值,该函数允许远程攻击者通过DSA和ECDSA密钥的格式错误的SSL / TLS签名绕过 certificate chain的验证。

解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://lists.apple.com/archives/security-announce/2009/May/msg00002.html
http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00013.html
http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00014.html
http://marc.info/?l=bugtraq&m=123859864430555&w=2
http://marc.info/?l=bugtraq&m=124277349419254&w=2
http://marc.info/?l=bugtraq&m=127678688104458&w=2
http://secunia.com/advisories/33338
http://secunia.com/advisories/33394
http://secunia.com/advisories/33436
http://secunia.com/advisories/33557
http://secunia.com/advisories/33673
http://secunia.com/advisories/33765
http://secunia.com/advisories/34211
http://secunia.com/advisories/35074
http://secunia.com/advisories/35108
http://secunia.com/advisories/39005
http://security.gentoo.org/glsa/glsa-200902-02.xml
http://slackware.com/security/viewer.php?l=slackware-security&y=2009&m=slackw...
http://sunsolve.sun.com/search/document.do?assetkey=1-66-250826-1
http://support.apple.com/kb/HT3549
http://support.avaya.com/elmodocs2/security/ASA-2009-038.htm
http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=837653
http://voodoo-circle.sourceforge.net/sa/sa-20090123-01.html
http://www.ocert.org/advisories/ocert-2008-016.html
http://www.openssl.org/news/secadv_20090107.txt
http://www.redhat.com/support/errata/RHSA-2009-0004.html
http://www.securityfocus.com/archive/1/499827/100/0/threaded
http://www.securityfocus.com/archive/1/502322/100/0/threaded
http://www.securityfocus.com/bid/33150
http://www.securitytracker.com/id?1021523
http://www.us-cert.gov/cas/techalerts/TA09-133A.html
http://www.vmware.com/security/advisories/VMSA-2009-0004.html
http://www.vupen.com/english/advisories/2009/0040
http://www.vupen.com/english/advisories/2009/0289
http://www.vupen.com/english/advisories/2009/0362
http://www.vupen.com/english/advisories/2009/0558
http://www.vupen.com/english/advisories/2009/0904
http://www.vupen.com/english/advisories/2009/0913
http://www.vupen.com/english/advisories/2009/1297
http://www.vupen.com/english/advisories/2009/1338
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
https://usn.ubuntu.com/704-1/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 openssl openssl * Up to
(including)
0.9.8h
运行在以下环境
应用 openssl openssl 0.9.1c -
运行在以下环境
应用 openssl openssl 0.9.2b -
运行在以下环境
应用 openssl openssl 0.9.3 -
运行在以下环境
应用 openssl openssl 0.9.3a -
运行在以下环境
应用 openssl openssl 0.9.4 -
运行在以下环境
应用 openssl openssl 0.9.5 -
运行在以下环境
应用 openssl openssl 0.9.5a -
运行在以下环境
应用 openssl openssl 0.9.6 -
运行在以下环境
应用 openssl openssl 0.9.6a -
运行在以下环境
应用 openssl openssl 0.9.6b -
运行在以下环境
应用 openssl openssl 0.9.6c -
运行在以下环境
应用 openssl openssl 0.9.6d -
运行在以下环境
应用 openssl openssl 0.9.6e -
运行在以下环境
应用 openssl openssl 0.9.6f -
运行在以下环境
应用 openssl openssl 0.9.6g -
运行在以下环境
应用 openssl openssl 0.9.6h -
运行在以下环境
应用 openssl openssl 0.9.6i -
运行在以下环境
应用 openssl openssl 0.9.6j -
运行在以下环境
应用 openssl openssl 0.9.6k -
运行在以下环境
应用 openssl openssl 0.9.6l -
运行在以下环境
应用 openssl openssl 0.9.6m -
运行在以下环境
应用 openssl openssl 0.9.7 -
运行在以下环境
应用 openssl openssl 0.9.7a -
运行在以下环境
应用 openssl openssl 0.9.7b -
运行在以下环境
应用 openssl openssl 0.9.7c -
运行在以下环境
应用 openssl openssl 0.9.7d -
运行在以下环境
应用 openssl openssl 0.9.7e -
运行在以下环境
应用 openssl openssl 0.9.7f -
运行在以下环境
应用 openssl openssl 0.9.7g -
运行在以下环境
应用 openssl openssl 0.9.7h -
运行在以下环境
应用 openssl openssl 0.9.7i -
运行在以下环境
应用 openssl openssl 0.9.7j -
运行在以下环境
应用 openssl openssl 0.9.7k -
运行在以下环境
应用 openssl openssl 0.9.7l -
运行在以下环境
应用 openssl openssl 0.9.8 -
运行在以下环境
应用 openssl openssl 0.9.8a -
运行在以下环境
应用 openssl openssl 0.9.8b -
运行在以下环境
应用 openssl openssl 0.9.8c -
运行在以下环境
应用 openssl openssl 0.9.8d -
运行在以下环境
应用 openssl openssl 0.9.8e -
运行在以下环境
应用 openssl openssl 0.9.8f -
运行在以下环境
应用 openssl openssl 0.9.8g -
运行在以下环境
系统 centos_5 openssl * Up to
(excluding)
0.9.8b-10.el5_2.1
运行在以下环境
系统 debian_10 openssl * Up to
(excluding)
0.9.8g-15
运行在以下环境
系统 debian_11 openssl * Up to
(excluding)
0.9.8g-15
运行在以下环境
系统 debian_12 openssl * Up to
(excluding)
0.9.8g-15
运行在以下环境
系统 debian_4.0 openssl * Up to
(excluding)
0.9.8c-4etch4
运行在以下环境
系统 opensuse_10.3 openssl * Up to
(excluding)
0.9.8e-45.7
运行在以下环境
系统 opensuse_11.0 openssl * Up to
(excluding)
0.9.8g-47.2
运行在以下环境
系统 opensuse_11.1 openssl * Up to
(excluding)
0.9.8h-28.7.1
运行在以下环境
系统 opensuse_11.3 compat-openssl097g-32bit * Up to
(excluding)
0.9.7g-155.3.1
运行在以下环境
系统 opensuse_11.4 compat-openssl097g-32bit * Up to
(excluding)
0.9.7g-158.159.1
运行在以下环境
系统 oracle_5 oraclelinux-release * Up to
(excluding)
0.9.8b-10.el5_2.1
运行在以下环境
系统 redhat_5 openssl * Up to
(excluding)
0:0.9.7a-43.17.el4_7.2
运行在以下环境
系统 suse_12 libopenssl1_0_0 * Up to
(excluding)
1.0.1i-2
阿里云评分
5.5
  • 攻击路径
    本地
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    没有补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    N/A
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-20 输入验证不恰当
阿里云安全产品覆盖情况