OpenSSL(CVE-2015-1793)補丁發布
責編:mhshi |2015-07-13 11:29:36研究人員Adam Langley/David Benjamin (Google/BoringSSL)近日發現了一枚新的OpenSSL嚴重安全漏洞。該漏洞的漏洞編號為CVE-2015-1793,是證書驗證的邏輯過程中沒能正確驗證新的且不受信任證書造成的。攻擊者可以繞過證書警告,強制應用程序將無效證書當作合法證書使用。
昨天OpenSSL發布了OpenSSL 1.0.2b和OpenSSL 1.0.1n兩個版本的最新更新,修復了加密協議中的證書偽造問題。
OpenSSL官方對于這一漏洞的描述為:
OpenSSL(1.0.1n和1.0.2b以上版本)在證書鏈驗證過程中,如果首次證書鏈校驗失敗,則會嘗試使用一個其他的證書鏈來重新嘗試進行校驗;其實是在證書驗證中存在一個邏輯錯誤,導致對于非可信證書的一些檢查被繞過,這直接的后果導致比如使沒有CA 簽發能力的證書被誤判為具有CA簽發能力,其進行簽發的證書可以通過證書鏈校驗等。
受影響的OpenSSL版本 1.0.1n 1.0.2b 1.0.2c 1.0.1o
修復方式
OpenSSL 1.0.2c/1.0.2b的用戶請升級到 1.0.2d
OpenSSL 1.0.1h/1.0.1o的用戶請升級到 1.0.2p
OpenSSL系列高危漏洞
心臟滴血漏洞:該漏洞去年4月份被發現,它存在于OpenSSL早期版本中,允許黑客讀取受害者加密數據的敏感內容,包括信用卡詳細信息,甚至能夠竊取網絡服務器或客戶端軟件的加密SSL密鑰。
POODLE漏洞:幾個月后,在古老但廣泛應用的SSL 3.0加密協議中發現了另一個被稱為POODLE(Padding Oracle On Downgraded Legacy Encryption)的嚴重漏洞,該漏洞允許攻擊者解密加密連接的內容。
FREAK漏洞:該漏洞是今年3月份被發現,是一種新型的SSL/TLS漏洞,漏洞編號為CVE-2015-0204。它能讓黑客輕松解密網站的私鑰和加密密碼、登錄cookie,以及其他HTTPS傳輸的機密數據(比如賬號、密碼)。
上一篇:安卓adb備份存在漏洞
下一篇:德國愛國者導彈控制系統被黑