OpenSSL最新高危漏洞(CVE-2015-1793)補(bǔ)丁發(fā)布

責(zé)任編輯:editor005

作者:cindy

2015-07-13 14:40:48

摘自:FreeBuf

研究人員Adam Langley David Benjamin (Google BoringSSL)近日發(fā)現(xiàn)了一枚新的OpenSSL嚴(yán)重安全漏洞。目前OpenSSL已發(fā)布了OpenSSL 1 0 2b和OpenSSL 1 0 1n兩個(gè)版本的最新更新,修復(fù)了加密協(xié)議中的證書偽造問題。

研究人員Adam Langley/David Benjamin (Google/BoringSSL)近日發(fā)現(xiàn)了一枚新的OpenSSL嚴(yán)重安全漏洞。目前OpenSSL已發(fā)布了OpenSSL 1.0.2b和OpenSSL 1.0.1n兩個(gè)版本的最新更新,修復(fù)了加密協(xié)議中的證書偽造問題。

AD:

近日,研究人員Adam Langley/David Benjamin (Google/BoringSSL)發(fā)現(xiàn)了一枚新的OpenSSL嚴(yán)重安全漏洞。該漏洞的漏洞編號(hào)為CVE-2015-1793,是證書驗(yàn)證的邏輯過程中沒能正確驗(yàn)證新的且不受信任證書造成的。攻擊者可以繞過證書警告,強(qiáng)制應(yīng)用程序?qū)o效證書當(dāng)作合法證書使用。

OpenSSL最新高危漏洞(CVE-2015-1793)補(bǔ)丁發(fā)布

目前OpenSSL已發(fā)布了OpenSSL 1.0.2b和OpenSSL 1.0.1n兩個(gè)版本的最新更新,修復(fù)了加密協(xié)議中的證書偽造問題。

OpenSSL官方對(duì)于這一漏洞的描述為:

OpenSSL(1.0.1n和1.0.2b以上版本)在證書鏈驗(yàn)證過程中,如果首次證書鏈校驗(yàn)失敗,則會(huì)嘗試使用一個(gè)其他的證書鏈來重新嘗試進(jìn)行校驗(yàn);其實(shí)是在證書驗(yàn)證中存在一個(gè)邏輯錯(cuò)誤,導(dǎo)致對(duì)于非可信證書的一些檢查被繞過,這直接的后果導(dǎo)致比如使沒有CA 簽發(fā)能力的證書被誤判為具有CA簽發(fā)能力,其進(jìn)行簽發(fā)的證書可以通過證書鏈校驗(yàn)等。

受影響的OpenSSL版本

1.0.1n

1.0.2b

1.0.2c

1.0.1o

修復(fù)方式

OpenSSL 1.0.2c/1.0.2b的用戶請(qǐng)升級(jí)到 1.0.2d

OpenSSL 1.0.1h/1.0.1o的用戶請(qǐng)升級(jí)到 1.0.2p

OpenSSL系列高危漏洞

心臟滴血漏洞:該漏洞去年4月份被發(fā)現(xiàn),它存在于OpenSSL早期版本中,允許黑客讀取受害者加密數(shù)據(jù)的敏感內(nèi)容,包括信用卡詳細(xì)信息,甚至能夠竊取網(wǎng)絡(luò)服務(wù)器或客戶端軟件的加密SSL密鑰。

POODLE漏洞:幾個(gè)月后,在古老但廣泛應(yīng)用的SSL 3.0加密協(xié)議中發(fā)現(xiàn)了另一個(gè)被稱為POODLE(Padding Oracle On Downgraded Legacy Encryption)的嚴(yán)重漏洞,該漏洞允許攻擊者解密加密連接的內(nèi)容。

FREAK漏洞:該漏洞是今年3月份被發(fā)現(xiàn),是一種新型的SSL/TLS漏洞,漏洞編號(hào)為CVE-2015-0204。它能讓黑客輕松解密網(wǎng)站的私鑰和加密密碼、登錄cookie,以及其他HTTPS傳輸?shù)臋C(jī)密數(shù)據(jù)(比如賬號(hào)、密碼)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)