负载均衡在漏洞扫描中发现存在如下漏洞，SSL协议会话协商明文注入漏洞【原理扫描】

漏洞编号

004102D

漏洞类型

OpenSSL

危险级别

中危险

影响平台

OpenSSL < 0.9.8l

CVSS分值

5.8

bugtraq编号

36935

CVE编号

CNCVE编号

CNCVE-20093555

国家漏洞库编号

CNVD编号

CNVD-2010-0699

简单描述

TLS协议和SSL协议实现模块没有适当将会话协商与现存连接关联。

详细描述

OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。

由于TLS协议和SSL协议实现模块没有适当将会话协商与现存连接关联，中间人攻击者可以通过发送一个未认证的请求，将数据注入到受TLS和SSL协议保护的HTTP会话和其它类型会话中。

修补建议

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：  ***.***/chngview?cn=18790 ***.***/software/gnutls/download.html ***.***/download.cgi

参考网址

BUGTRAQ:20091124 rPSA-2009-0155-1 httpd mod_ssl
URL:***.***/archive/1/archive/1/508075/100/0/threaded
BUGTRAQ:20091118 TLS / SSLv3 vulnerability explained (DRAFT)
URL:***.***/archive/1/archive/1/507952/100/0/threaded
BUGTRAQ:20091130 TLS / SSLv3 vulnerability explained (New ways to leverage the vulnerability)
URL:***.***/archive/1/archive/1/508130/100/0/threaded
BUGTRAQ:20101207 VMSA-2010-0019 VMware ESX third party updates for Service Console
URL:***.***/archive/1/archive/1/515055/100/0/threaded
BUGTRAQ:20110211 VMSA-2011-0003 Third party component updates for VMware vCenter Server, vCenter Update Manager, ESXi and ESX
URL:***.***/archive/1/archive/1/516397/100/0/threaded
FULLDISC:20091111 Re: SSL/TLS MiTM PoC
URL:***.***/fulldisclosure/2009/Nov/139
MLIST:[announce] 20091107 CVE-2009-3555 - apache/mod_ssl vulnerability and mitigation
URL:***.***/?l=apache-httpd-announce&m=125755783724966&w=2
MLIST:[cryptography] 20091105 OpenSSL 0.9.8l released
URL:***.***/?l=cryptography&m=125752275331877&w=2
MLIST:[gnutls-devel] 20091105 Re: TLS renegotiation MITM
URL:***.***/archive/html/gnutls-devel/2009-11/msg00029.html
MLIST:[oss-security] 20091105 CVE-2009-3555 for TLS renegotiation MITM attacks
URL:***.***/lists/oss-security/2009/11/05/3