研究人員Adam Langley/David Benjamin (Google/BoringSSL)近日發(fā)現(xiàn)了一枚新的OpenSSL嚴(yán)重安全漏洞。目前OpenSSL已發(fā)布了OpenSSL 1.0.2b和OpenSSL 1.0.1n兩個(gè)版本的最新更新,修復(fù)了加密協(xié)議中的證書偽造問題。
AD:
近日,研究人員Adam Langley/David Benjamin (Google/BoringSSL)發(fā)現(xiàn)了一枚新的OpenSSL嚴(yán)重安全漏洞。該漏洞的漏洞編號(hào)為CVE-2015-1793,是證書驗(yàn)證的邏輯過程中沒能正確驗(yàn)證新的且不受信任證書造成的。攻擊者可以繞過證書警告,強(qiáng)制應(yīng)用程序?qū)o效證書當(dāng)作合法證書使用。
目前OpenSSL已發(fā)布了OpenSSL 1.0.2b和OpenSSL 1.0.1n兩個(gè)版本的最新更新,修復(fù)了加密協(xié)議中的證書偽造問題。
OpenSSL官方對(duì)于這一漏洞的描述為:
OpenSSL(1.0.1n和1.0.2b以上版本)在證書鏈驗(yàn)證過程中,如果首次證書鏈校驗(yàn)失敗,則會(huì)嘗試使用一個(gè)其他的證書鏈來重新嘗試進(jìn)行校驗(yàn);其實(shí)是在證書驗(yàn)證中存在一個(gè)邏輯錯(cuò)誤,導(dǎo)致對(duì)于非可信證書的一些檢查被繞過,這直接的后果導(dǎo)致比如使沒有CA 簽發(fā)能力的證書被誤判為具有CA簽發(fā)能力,其進(jìn)行簽發(fā)的證書可以通過證書鏈校驗(yàn)等。
受影響的OpenSSL版本
1.0.1n
1.0.2b
1.0.2c
1.0.1o
修復(fù)方式
OpenSSL 1.0.2c/1.0.2b的用戶請(qǐng)升級(jí)到 1.0.2d
OpenSSL 1.0.1h/1.0.1o的用戶請(qǐng)升級(jí)到 1.0.2p
OpenSSL系列高危漏洞
心臟滴血漏洞:該漏洞去年4月份被發(fā)現(xiàn),它存在于OpenSSL早期版本中,允許黑客讀取受害者加密數(shù)據(jù)的敏感內(nèi)容,包括信用卡詳細(xì)信息,甚至能夠竊取網(wǎng)絡(luò)服務(wù)器或客戶端軟件的加密SSL密鑰。
POODLE漏洞:幾個(gè)月后,在古老但廣泛應(yīng)用的SSL 3.0加密協(xié)議中發(fā)現(xiàn)了另一個(gè)被稱為POODLE(Padding Oracle On Downgraded Legacy Encryption)的嚴(yán)重漏洞,該漏洞允許攻擊者解密加密連接的內(nèi)容。
FREAK漏洞:該漏洞是今年3月份被發(fā)現(xiàn),是一種新型的SSL/TLS漏洞,漏洞編號(hào)為CVE-2015-0204。它能讓黑客輕松解密網(wǎng)站的私鑰和加密密碼、登錄cookie,以及其他HTTPS傳輸?shù)臋C(jī)密數(shù)據(jù)(比如賬號(hào)、密碼)。