Debian系统中的OpenSSL漏洞主要包括以下几类:
-
伪随机数生成器(PRNG)漏洞:
- 描述:2006年引入的PRNG漏洞,由于OpenSSL的PRNG种子值非常有限,只有32,767个选择,影响了依赖于OpenSSL随机数生成器的程序的随机性。
- 修复情况:此问题在后续版本中得到了修复。
-
心脏出血漏洞(Heartbleed):
- 描述:2014年发现的漏洞,影响OpenSSL 1.0.1至1.0.1f以及1.0.2至1.0.2beta版本。攻击者可利用此漏洞未经授权读取服务器上的敏感信息,包括加密密钥等。
- 修复情况:此漏洞在2014年4月被公开披露,并迅速被修复。
-
可预测的随机数生成器漏洞:
- 描述:2019年公告的漏洞,OpenSSL的PRNG存在可预测性,可能导致密码猜解等问题。
- 修复情况:官方建议OpenSSL 0.9.8c-1之后版本的用户重算加密体系。
-
缓冲区读取过量和内存越界访问:
- 描述:2024年Debian 12.8更新修复的漏洞,消除了缓冲区读取过量和内存越界访问的安全隐忧。
-
其他漏洞:
- POODLE漏洞(CVE-2014-3566):影响OpenSSL 1.0.1至1.0.1g版本,允许攻击者降低加密通信的安全性。
- BEAST漏洞(CVE-2011-3389):影响OpenSSL 1.0.1至1.0.1e版本,利用SSL 3.0协议缺陷窃取加密数据。
- FREAK漏洞(CVE-2015-0204):影响OpenSSL 1.0.1至1.0.1f版本,通过加密套件缺陷降低通信安全性。
