OpenSSL項目團隊為其密碼庫發布補丁以修復一個嚴重的漏洞(該漏洞可能允許攻擊者解密HTTPS通信),同時強化對Logjam的防御。
解密攻擊漏洞是在OpenSSL處理某些特定情況下DH密鑰交換時發現的。通常,OpenSSL只使用所謂的“安全”質數,但在OpenSSL1.0.2中,生成參數文件的新方式將重新啟用一個質數。理論上講,攻擊者就可以使用這個值來解密加密的安全通信。
不過有咨詢師指出這種攻擊很難執行,因為它需要“攻擊者在同一個人使用相同的DH指數時完成多個信號交換”。
Micro Focus解決方案架構師Garve Hays稱該風險是有限的,因為能接觸到主要是提供Forward Secrecy的服務,諸如Gmail、Twitter以及Facebook等。
“好消息是這些企業勤于打補丁,因而風險很快會被控制,”Hays表示。“Forward Secrecy其協議特性是不允許用私鑰解密消息。因此當獲取到私鑰時,它并不能用于倒回并恢復舊有通信。”
OpenSSL1.0.1不容易遭到這種攻擊,而使用1.0.2版本的用戶需要盡早安裝OpenSSL1.0.2補丁。
新補丁同時添加一些新的特性以進一步降低Logiam攻擊的影響。Logiam可允許中間人攻擊者讓易被攻擊的TLS連接更加脆弱。之前的OpenSSL補丁通過拒絕參數在768位以下的信息交換來防御該攻擊,新的補丁強化了該協定,拒絕參數在1024位以下的信息交換。
京公網安備 11010502049343號