OpenSSL最新高危漏洞(CVE-2015-1793)补丁发布

微信号:freebuf

研究人员Adam Langley/David Benjamin (Google/BoringSSL)近日发现了一枚新的OpenSSL严重安全漏洞。该漏洞的漏洞编号为CVE-2015-1793,是证书验证的逻辑过程中没能正确验证新的且不受信任证书造成的。攻击者可以绕过证书警告,强制应用程序将无效证书当作合法证书使用。

昨天OpenSSL发布了OpenSSL 1.0.2b和OpenSSL 1.0.1n两个版本的最新更新,修复了加密协议中的证书伪造问题。

OpenSSL官方对于这一漏洞的描述为:

OpenSSL(1.0.1n和1.0.2b以上版本)在证书链验证过程中,如果首次证书链校验失败,则会尝试使用一个其他的证书链来重新尝试进行校验;其实是在证书验证中存在一个逻辑错误,导致对于非可信证书的一些检查被绕过,这直接的后果导致比如使没有CA 签发能力的证书被误判为具有CA签发能力,其进行签发的证书可以通过证书链校验等。

受影响的OpenSSL版本

1.0.1n

1.0.2b

1.0.2c

1.0.1o

修复方式

OpenSSL 1.0.2c/1.0.2b的用户请升级到 1.0.2d

OpenSSL 1.0.1h/1.0.1o的用户请升级到 1.0.2p

OpenSSL系列高危漏洞

心脏滴血漏洞:该漏洞去年4月份被发现,它存在于OpenSSL早期版本中,允许黑客读取受害者加密数据的敏感内容,包括信用卡详细信息,甚至能够窃取网络服务器或客户端软件的加密SSL密钥。

POODLE漏洞:几个月后,在古老但广泛应用的SSL 3.0加密协议中发现了另一个被称为POODLE(Padding Oracle On Downgraded Legacy Encryption)的严重漏洞,该漏洞允许攻击者解密加密连接的内容。

FREAK漏洞:该漏洞是今年3月份被发现,是一种新型的SSL/TLS漏洞,漏洞编号为CVE-2015-0204。它能让黑客轻松解密网站的私钥和加密密码、登录cookie,以及其他HTTPS传输的机密数据(比如账号、密码)。

* 参考来源THN,symantec,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-07-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序员宝库

聊聊 HTTPS 和 SSL/TLS 协议

要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识。 大致了解几个基本术语(HTTPS、SSL、TLS)的含义 大致了解 HTTP 和 TCP 的...

39211
来自专栏即时通讯技术

用JWT技术解决IM系统Socket长连接的身份认证痛点1、引言2、原作者3、系列文章5、完全搞懂什么是JWT技术6、我们是怎样使用JWT技术的?7、JWT技术的缺点8、点评附录:更多即时通讯方面的文

本文引用了封宇《JWT技术解决IM系统的认证痛点》一文的部分内容,即时通讯网重新整理、增补和修订,感谢原作者的无私分享。

1102
来自专栏Java工程师日常干货

从Java程序员的角度理解加密的那些事

在我们日常的程序开发中,或多或少会遇到一些加密/解密的场景,比如在一些接口调用的过程中,我们(Client)不仅仅需要传递给接口服务(Server)必要的业务参...

1822
来自专栏张戈的专栏

分享一个免费SSL证书申请网站,给网站开启https协议

这些天,由于公司的业务需求,接触到了 ssl 证书和 https 协议。博客前几篇文章也分享了在 WEB 服务器上安装 SSL 证书,为网站开启 https 协...

6196
来自专栏即时通讯技术

一文读懂Https的安全性原理、数字证书、单项认证、双项认证等

本文引用了作者Smily(博客:blog.csdn.net/qq_20521573)的文章内容,感谢无私分享。

4762
来自专栏黑白安全

黑客利用 Excel 文档来执行 ChainShot 恶意软件攻击

针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel ...

1724
来自专栏女程序员的日常

SSD的传输总线、传输协议、传输接口

前言:关于SSD,有众多总线类型、协议类型、接口类型,每个接口还包括不同型号,在这里花点时间全部整理一下,整理日期2017-08-08。 1.传输总线 总线就像...

2741
来自专栏安智客

TLS与SSL的介绍及区别

最近,Google要求Android下一个版本Android P 的应用程序,将默认使用加密连接,这意味着运行 Android P 系统的安卓设备无论是接收或者...

1786
来自专栏安全领域

在微控制器和物联网上使用JavaScript:SSL / TLS

在今天的这篇文章中,我们回到Particle Photon上来解决他的一个最大的缺点:缺少TLS支持,接下来我们将详细介绍如何添加这一功能。

84414
来自专栏沈唁志

分享几个免费SSL证书申请网站,给网站开启HTTPS协议

8744

扫码关注云+社区

领取腾讯云代金券