记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

OpenSSL修补系列高危漏洞

2015-03-23 00:30

 OpenSSL漏洞一览

         OpenSSL是对SSL和TLS协议的开源实现。这是一个技术的广泛使用,几乎每一个网站,Web会话进行加密,即使是在互联网上的网站的权力几乎有一半使用OpenSSL的Apache Web服务器。
 openssl_freak
         OpenSSL的基金会表示他们将在本周四修复多个OpenSSL的安全漏洞在其广泛使用的开源软件,包括其中一个高危漏洞。
        心脏出血漏洞(CVE-2014-0160)去年四月被发现在较早版本的OpenSSL,允许黑客读取用户的加密数据的敏感内容,如信用卡交易,甚至从互联网服务器或客户端软件盗取SSL密钥。

        此外,同年6月份一个中间人攻击(MITM)漏洞(CVE-2014-0224)被发现并由OpenSSL项目组修复。不过没有心脏出血漏洞严重,但它足以解密,阅读或操纵加密的数据,特别是影响Android用户。

       几个月后,另一个重要缺陷POODLE(Padding Oracle On Downgraded Legacy Encryption)漏洞,攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。

        2015年3月3日,研究人员宣发现一个新的SSL / TLS漏洞叫FREAK攻击(CVE-2015-0204) 参见安全脉搏之前的《OpenSSL FREAK Attack漏洞(CVE-2015-0204)检测方法及修复建议》。它允许攻击者拦截脆弱的客户端和服务器之间的HTTPS连接,并迫使他们使用弱密码,攻击者可以破解窃取或操纵敏感数据。
        还有另一个神秘高危漏洞(CVE-2015-0291)官方的解释是这样的:如果客户端连接到一个使用 OpenSSL 1.0.2 的服务器上,并使用无效的签名算法扩展进行再次协商,那么将会触发一个删除空指针的问题。利用这个问题可以造成DOS攻击。

OpenSSL更新地址

https://github.com/openssl/openssl

 

【原文:OpenSSL本周修补高危漏洞   安全脉搏整理发布】

转载请注明:安全脉搏 » OpenSSL修补系列高危漏洞


知识来源: www.secpluse.com/archives/5519.html

阅读:113885 | 评论:0 | 标签:Web安全 CVE-2014-0160 CVE-2014-0224 CVE-2015-0204 CVE-2015-029

想收藏或者和大家分享这篇好文章→复制链接地址

“OpenSSL修补系列高危漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云