新闻链接：0f8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4W2M7Y4c8Q4x3X3g2G2M7X3N6Q4x3X3g2U0L8W2)9J5c8Y4m8#2j5X3I4A6M7$3S2Q4x3V1k6E0j5h3W2F1i4K6u0r3z5g2)9J5c8U0t1H3x3e0k6Q4x3V1j5J5x3o6p5$3x3o6t1H3x3e0p5#2x3o6b7J5z5o6V1H3y4o6M7@1x3e0f1#2z5q4)9J5c8U0t1H3x3e0j5H3x3U0l9I4x3e0f1H3y4o6t1^5z5e0l9@1y4K6b7I4y4e0f1^5i4K6g2X3i4K6u0W2K9s2c8E0L8l9`.`.
   新闻时间：2016-02-01

近日，国家信息安全漏洞共享平台（CNVD）收录了OpenSSL存在的加密算法破解漏洞（CNVD-2016-00711，对应CVE-2016-0701）。远程攻击者可利用该漏洞，获取加密密钥，并发起后续攻击，获得用户的敏感信息。
        一、漏洞情况分析
        OpenSSL是一个实现安全套接层和安全传输层协议的通用开源加密库，可支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。
        OpenSSL存在一处加密算法破解漏洞，但是该漏洞需要同时满足以下条件：OpenSSL版本为 1.0.2-1.0.2e；依赖于openssl的应用程序的签名算法生成的临时密钥必须基于Diffie Hellman密钥交换算法。默认情况下，由于服务器会重复使用相同的临时密钥，这使得服务器容易受到密钥覆盖攻击。当满足上述条件后，攻击者可以通过服务器发送大量的握手请求，当有足够多的计算数据完成后，攻击者可以获取部分密钥值，并结合其结果与中国剩余定理最终推导出解密密钥。
         CNVD对该漏洞的综合评级为“高危”。
        二、漏洞影响范围
        漏洞影响OpenSSL 1.0.2-1.0.2e版本。由于OpenSSL广泛应用于一些大型互联网企业的网站、VPN、邮件、即时聊天等类型的服务器上，因此对服务提供商以及用户造成的威胁范围较大，影响较为严重。比如：封装OpenSSL应用的Apache服务器，虽然开启了SSL_OP_SINGLE_DH_USE选项，但用户需要检查是否使用不同的私钥算法；而LibreSSL代码库以及OpenSSL衍伸出的BoringSSL 代码库以及，则将SSL_OP_SINGLE_DH_USE选项选项弃用，会受到漏洞影响。此外，基于DSA 的Diffie-Hellman配置也依赖静态Diffie-Hellman密钥交换算法套件，相关应用也会受到影响。
        三、漏洞修复建议
        目前，厂商已发布了1.0.2f版本修复该漏洞，CNVD建议相关用户及时下载使用，避免引发漏洞相关的网络安全事件。
        5b4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2G2M7r3g2F1M7%4y4D9i4K6u0W2L8%4u0Y4i4K6u0r3M7$3!0#2M7X3y4W2i4K6u0r3
        附：参考链接：
        d4bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2G2M7r3g2F1M7%4y4D9i4K6u0W2L8%4u0Y4i4K6u0r3L8X3g2%4M7#2)9J5c8Y4k6#2L8r3&6W2M7X3q4T1K9h3I4A6N6r3W2W2M7#2)9J5k6h3S2@1L8h3I4Q4x3U0y4&6x3U0l9I4y4R3`.`.
        4a2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4J5M7%4c8W2j5$3S2F1K9h3y4S2i4K6u0W2j5$3!0E0i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1j5J5x3o6p5$3i4K6u0r3x3o6q4Q4x3V1k6Z5K9h3N6Z5i4K6u0V1M7$3g2$3k6i4u0A6N6s2W2Q4x3X3c8T1N6h3N6Q4x3X3c8A6L8W2)9J5k6r3!0H3k6h3&6K6M7$3I4Q4x3X3c8S2L8r3I4G2N6%4y4Q4x3X3c8S2N6s2c8S2j5$3E0W2M7Y4y4Q4x3X3c8@1L8#2)9J5k6r3c8W2j5%4u0&6M7s2c8Q4x3X3c8Z5N6s2c8H3M7#2)9J5k6s2c8J5j5h3k6X3K9h3y4Q4x3V1j5`.
        d03K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3W2F1N6r3!0@1K9r3g2K6P5h3#2E0k6i4c8J5P5g2)9J5k6h3u0D9L8$3N6K6M7r3!0@1i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9I4y4W2)9J5c8U0l9I4i4K6u0r3L8%4m8W2L8Y4y4K6L8q4)9J5k6r3E0W2P5g2)9J5k6s2u0W2j5$3!0$3k6i4u0&6i4K6u0V1j5i4c8@1j5h3y4C8i4K6u0V1L8$3&6Q4x3X3c8V1K9q4)9J5k6s2y4E0j5h3I4D9i4K6u0W2K9s2c8E0L8l9`.`.
        f8eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6$3N6h3I4K6i4K6u0r3z5e0f1K6x3U0m8Q4x3X3g2Z5N6r3#2D9
        c24K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4F1N6X3c8Q4x3X3g2G2M7X3N6Q4x3X3g2U0L8W2)9J5c8X3k6D9j5i4N6Q4x3V1k6K6K9r3!0%4i4K6u0r3 CNVD-2016-00711

[培训]科锐逆向工程师培训第53期2025年7月8日开班！