OpenSSL官方發布漏洞預警,提醒系統管理員做好OpenSSL的升級準備。最新版本OpenSSL將于7月9日(本周四)發布,修復了一個未經披露的高危漏洞。不少安全專家推測,這個高危漏洞將可能是另一個“心臟滴血”。
神秘的高危0day漏洞
OpenSSL是一個廣泛使用的開源軟件庫,它使用SSL和TLS為大多數網站提供加密的互聯網連接。
OpenSSL項目團隊在本周一宣布,即將發布的OpenSSL加密庫新版本1.0.2d和1.0.1p中解決了一個被定位于“高危”的安全漏洞。
關于這個神秘的安全漏洞,除了知道它并不影響1.0.0或0.9.8版本之外,目前還沒有更詳細的消息。在前天公開的一封郵件列表記錄中,開發者Mark J Cox陳述道:
“OpenSSL項目團隊宣布即將發布OpenSSL新版本1.0.2d和1.0.1p,這兩個新版本將于7月9日發布。值得注意的是,這兩個新版本中都修復了一個安全等級評定為“高危”的漏洞。不過,這個漏洞并不影響1.0.0或0.9.8版本。”
OpenSSL官方在發布新版本前發出預警,很可能是為了防止在更新補丁發布給大眾之前,黑客利用該漏洞進行攻擊。
不少安全專家推測,這個高危漏洞將可能是另一個“心臟滴血(Heartbleed)”漏洞或POODLE漏洞,而這兩者曾被認為是最糟糕的TLS/SSL漏洞,直到今天人們認為它們仍然在影響互聯網上的網站。
OpenSSL高危漏洞回顧
心臟滴血漏洞:該漏洞去年4月份被發現,它存在于OpenSSL早期版本中,允許黑客讀取受害者加密數據的敏感內容,包括信用卡詳細信息,甚至能夠竊取網絡服務器或客戶端軟件的加密SSL密鑰。
POODLE漏洞:幾個月后,在古老但廣泛應用的SSL 3.0加密協議中發現了另一個被稱為POODLE(Padding Oracle On Downgraded Legacy Encryption)的嚴重漏洞,該漏洞允許攻擊者解密加密連接的內容。
OpenSSL在今年3月份的一次更新中修復了一批高嚴重性的漏洞,其中包括拒絕服務漏洞(CVE-2015-0291),它允許攻擊者攻擊在線服務并使其崩潰;此外還有FREAK漏洞(CVE-2015-0204),它允許攻擊者迫使客戶端使用弱加密方式。
京公網安備 11010502049343號