OpenSSL受到多个漏洞影响,官方呼吁尽快升级

还记得OpenSSL心脏滴血漏洞么?几周前,这一漏洞的披露曾震惊互联网,全球有上百万使用OpenSSL对通信进行加密的网站受到该漏洞的影响。

无独有偶,OpenSSL基金会最近又发布了一些更新,修复了六个OpenSSL中的安全漏洞,其中两个为严重级别。

中间人攻击(CVE-2014-0224)

OpenSSL中的第一个严重漏洞(CVE-2014-0224)被称为“CCS 注入”。在OpenSSL建立握手连接的阶段,会发送一种名为ChangeCipherSpec(CCS)的请求,在发送该请求时,攻击者可以通过中间人攻击来劫持服务端与客户端之间的加密通信。

利用该问题,攻击者能够解析加密的链接并将其解密,读取或对通信数据进行操作。但该问题如想成功利用必须服务端域客户端双方均存在该问题。

根据OpenSSL的报告,“攻击者使用精心构造的握手包能够强制客户端和服务端之间使用弱密钥进行通信。”客户端的OpenSSL所有版本均受影响。只有1.0.1及以上版本是影响服务端的。尤其是一些SSL VPN产品,在该漏洞前几乎全军覆没。

OpenSSL CCS注入漏洞是由一位来自日本Lepidum安全公司的安全研究人员Masashi Kikuchi发现的。根据他的描述,该问题在OpenSSL第一版发布时就已经存在了。RedHat随后也在他们的安全博客中解释了该漏洞的一些细节。

无效的DTLS碎片漏洞(CVE-2014-0195):向OpenSSL DTLS的客户端或服务端发送无效的DTLS碎片能够导致缓冲区溢出攻击。潜在的攻击者能够利用该漏洞在受影响的客户端或服务端中执行任意代码。

DTLS死循环DOS攻击(CVE-2014-0221):远程攻击者能够发送无效的DTLS握手请求来使目标的处理逻辑进入死循环状态并最终耗尽资源而崩溃。该攻击仅影响将OpenSSL作为DTLS客户端的应用。

好消息是这些 漏洞都没有心脏滴血漏洞那么严重。打过补丁的版本是0.9.8za,1.0.0m和1.0.1h,在OpenSSL官网中已经提供下载了。OpenSSL官方呼吁各厂商尽快更新他们的SSL实现。

via:http://thehackernews.com/2014/06/openssl-vulnerable-to-man-in-middle.html

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-06-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏编程微刊

一个文艺的在线生成漂亮的二维码工具网站

15930
来自专栏菜鸟程序员

色情网站的光棍节“福利”:加密式挂马玩转流氓推广

36020
来自专栏腾讯Bugly的专栏

Android 开发者必知必会的权限管理知识

导语 本文主要讲解了Android 权限管理方面几个点: Android 权限背景知识; 权限检查及权限兼容; 跳转到app管理权限页面 一、Android 权...

46960

保护微服务(第一部分)

面向服务的体系结构(SOA)引入了一种设计范式,该技术讨论了高度分离的服务部署,其中服务间通过标准化的消息格式在网络上通信,而不关心服务的实现技术...

15450
来自专栏FreeBuf

窃听风云:扒掉你的最后一条“胖次”

“每个人的手机都是一部窃听器,不管你开不开机,都能被窃听。”在2009年上映的《窃听风云》中吴彦祖饰演的人物有这样一句台词,随着影片热映,“手机窃听”的问题被更...

19330
来自专栏安智客

Android 新特性之文件加密对TEE的要求

昨天聊到Android新版本对于指纹开发的要求,很多朋友问我,Android新版本对于TEE有哪些具体要求,我们知道android后续版本只会更加强化安全的...

50250
来自专栏進无尽的文章

扒虫篇-一次被AppStore多次拒绝的经历和常见被拒原因(持续更新)

最近项目要上线了,可是因为用到了后台模式,一直被拒,(其中还包含了其他原因的被拒),所以打算纪录一下,希望能帮到有同样问题的朋友,也对常见被AppStore拒绝...

18420
来自专栏中国白客联盟

一次失败的针对白客联盟的渗透测试(域名劫持成功钓鱼失败)

成功的渗透测试套路基本都是那一套。换汤不换药,不成功的原因却是千奇百怪。 我本人感觉,一次不成功的测试如果讲解细致的话反而更能提升技术水平。 这次就来讲一下针对...

58290
来自专栏云加头条

手机控制的浇花神器

不知道其他人有没有这样的顾虑,就是每次需要外出一些时日的时候总是担心家里的花无人浇水会干死。于是就想着是否能自己动手做一个可以用手机操控实现浇花的“半自动浇花器...

2.6K00
来自专栏朱胜的专栏

蓝牙在小程序中的应用

蓝牙在日常生活中广泛使用的一项技术,小程序给了我们前端工程师一个控制蓝牙的方法,带上你的设备,来看看怎么控制你的蓝牙设备吧。

2.3K50

扫码关注云+社区

领取腾讯云代金券