?





當前位置:>> 首頁 > 焦點新聞 > 安全公告

又一個“心臟滴血”? OpenSSL將發布安全補丁

更新時間:2015-07-15 12:24:00點擊次數:1867次字號:T|T
OpenSSL官方發布漏洞預警,提醒系統管理員做好OpenSSL的升級準備。最新版本OpenSSL將于7月9日(本周四)發布,修復了一個未經披露的高危漏洞。不少安全專家推測,這個高危漏洞將可能是另一個“心臟滴血”。

神秘的高危0day漏洞

OpenSSL是一個廣泛使用的開源軟件庫,它使用SSL和TLS為大多數網站提供加密的互聯網連接。

OpenSSL項目團隊在本周一宣布,即將發布的OpenSSL加密庫新版本1.0.2d和1.0.1p中解決了一個被定位于“高危”的安全漏洞。

關于這個神秘的安全漏洞,除了知道它并不影響1.0.0或0.9.8版本之外,目前還沒有更詳細的消息。在前天公開的一封郵件列表記錄中,開發者Mark J Cox陳述道:

“OpenSSL項目團隊宣布即將發布OpenSSL新版本1.0.2d和1.0.1p,這兩個新版本將于7月9日發布。值得注意的是,這兩個新版本中都修復了一個安全等級評定為“高危”的漏洞。不過,這個漏洞并不影響1.0.0或0.9.8版本。”

OpenSSL官方在發布新版本前發出預警,很可能是為了防止在更新補丁發布給大眾之前,黑客利用該漏洞進行攻擊。

不少安全專家推測,這個高危漏洞將可能是另一個“心臟滴血(Heartbleed)”漏洞或POODLE漏洞,而這兩者曾被認為是最糟糕的TLS/SSL漏洞,直到今天人們認為它們仍然在影響互聯網上的網站。

OpenSSL高危漏洞回顧

心臟滴血漏洞:該漏洞去年4月份被發現,它存在于OpenSSL早期版本中,允許黑客讀取受害者加密數據的敏感內容,包括信用卡詳細信息,甚至能夠竊取網絡服務器或客戶端軟件的加密SSL密鑰。

POODLE漏洞:幾個月后,在古老但廣泛應用的SSL 3.0加密協議中發現了另一個被稱為POODLE(Padding Oracle On Downgraded Legacy Encryption)的嚴重漏洞,該漏洞允許攻擊者解密加密連接的內容。

OpenSSL在今年3月份的一次更新中修復了一批高嚴重性的漏洞,其中包括拒絕服務漏洞(CVE-2015-0291),它允許攻擊者攻擊在線服務并使其崩潰;此外還有FREAK漏洞(CVE-2015-0204),它允許攻擊者迫使客戶端使用弱加密方式。


(編輯:admin)
?
唐山泰山棋牌下载