SSL和TLS是怎么被繞過的
責編:admin |2015-02-10 14:34:30你覺得用了SSL和TLS的網站或者應用就一定很安全?
理論上來說是的,但實際上它們有多安全取決于實現SSL和TLS類庫的程序員們的認真程度。
GnuTLS類庫最近一個關于CVE-2014-0092的安全補丁引起了國外許多開發人員的關注。CVE-2014-0092安全漏洞被描述為“GnuTLS沒有正確地處理X.509證書驗證過程中出現的錯誤… 導致攻擊者可以根據這個(漏洞)流程創建一個GnuTLS認為合法的證書”。
版本控制系統顯示該漏洞自從2005年以來就一直存在。嗯,這顯然是個大問題,大伙兒都意識到了。
為了解決這個安全漏洞,GnuTLS類庫的維護者Nikos,同時也是RedHat的員工,隨后提交了一個 補丁 。最后,他把bug的狀態設置為關閉,新的GnuTLS類庫也被生成并被推入更新渠道。
這個補丁及未打補丁前的安全漏洞的嚴重性在于,入侵者可以繞過網站所使用的安全套接字層協議(SSL)和傳輸層安全協議(TLS)的保護,從而監視所有使用該協議的應用的用戶與服務器之間的加密通訊,并破解這些被加密的內容。由于這個Bug的影響,有超過200個依賴于GnuTLS實現關鍵SSL和TLS操作的操作系統(包括RedHat、Ubuntu和Debian發行版)和應用(Web應用、電子郵件等等)的安全受到了威脅。
這個數目顯然還會不停地增長。
問題是怎么來的?
極具諷刺意味的是,CVE-2014-0092的安全補丁所犯的錯誤與Apple開發人員之前犯的“goto fail;”錯誤如出一轍。所不同的是,Apple的開發人員連續寫了兩個goto fail;導致第二個“goto fail;”后面的代碼根本無法到達,而GnuTLS類庫的維護人員則將證書驗證函數中的“goto fail;”改成了“goto cleanup;”。
GnuTLS的“安全補丁”
有人調侃,這位兄弟一定是看了Apple的goto fail然后想“啊~讓我看看我的代碼是不是有這樣的問題。然后,好吧,讓我們把goto fail改成goto cleanup,搞定!”
GnuTLS的安全漏洞早在2008年就已經有開發人員提出。當時這個開發人員在OpenLDAP的郵件組中表示,GnuTLS類庫的代碼在比較證書的時候存在問題,并且整個類庫的代碼只是實現了非常基本的功能,對于復雜的情況并沒有做適當處理。他的提議最后在質疑和諷刺中歪向了GPL協議的爭執,沒有任何下文。
目前的情況
安全研究人員正在研究這個漏洞的危及范圍。目前來說,讀者應該假設這是個嚴重的安全漏洞——因為很多使用GnuTLS類庫的下游代碼將會受到影響。例如,libcurl就依賴于GnuTLS類庫。一些基于Debian和Ubunut操作系統,用于思科網絡硬件的虛擬專用網絡應用也會受到影響。
對此,美國約翰霍普金斯大學的加密學教授說:“這個修補糟糕透頂。”
是的,糟糕透頂,誰知道其它類似的類庫有沒有這種問題呢?