技术文章 - CS333010
OpenSSL 安全漏洞(KEPServerEX 5.21 版本)
已修改: 23-Dec-2022
适用于
- Kepware Server (formerly KEPServerEX) 5.19.467.0 to 6.8
- ThingWorx Kepware Server (legacy) 8.0 to 8.4
说明
使用 KEPServerEX OPC UA 服务器或 OPC UA 客户端驱动程序的客户应了解 OpenSSL 中发现的影响 KEPServerEX 5.20.396 及更早版本的安全漏洞。不使用 KEPServerEX 的 OPC UA 服务器或 OPC UA 客户端驱动程序的客户可以忽略本文。 OpenSSL 是许多 OPC UA 应用程序用来保护通信安全的开源库。 KEPServerEX 使用 OpenSSL 来保护与 OPC UA 服务器和 OPC UA 客户端驱动程序的通信。最近在 OpenSSL 中发现的漏洞可能会通过允许远程攻击者拦截、解密和操纵 KEPServerEX 与 UA 端点之间的数据来影响这些产品。以下链接记录了 OpenSSL 中的漏洞:https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2107 该漏洞与 OpenSSL 1.0.1t 之前的 AES-NI 实现有关1.0.2 之前的 1.0.2h。这些版本在特定填充检查期间不考虑内存分配,这允许远程攻击者通过针对 AES CBC 会话的填充预言攻击来获取敏感的明文信息。这可能导致未经授权访问敏感信息。 OPC UA 服务器越容易访问,就越容易受到这种攻击。例如,如果 OPC UA 服务器仅在 LAN 或控制网络上可用,则暴露是有限的。流氓应用程序需要渗透该网络并利用网络上受感染机器的漏洞。如果可以通过 WAN 访问 OPC UA 服务器,则它更容易受到此漏洞的影响。任何可以访问网络上 OPC UA 服务器的机器都可以利用此漏洞。由于 KEPServerEX 默认仅安装 Localhost UA 端点,因此只有与 KEPServerEX 在同一台计算机上运行的应用程序才能利用此漏洞。启用非本地主机端点会使机器更容易受到影响,但这取决于 OPC UA 服务器在网络上的可访问性。 Kepware 通过在 2016 年 8 月 16 日发布的 KEPServerEX 版本 5.21.112 中升级到 OpenSSL 版本 1.0.2h 解决了这些问题。对于由此可能造成的任何不便,我们深表歉意。
这是文章 333010 的 PDF 版本,可能已过期。最新版本 CS333010