OpenSSL现高危漏洞 请尽快更新补丁

摘要: 简单的说，黑客很可能利用该漏洞，使用假冒SSL证书发动中间人攻击。

15年7月9日，OpenSSL官方发布了1.0.2d和1.0.1p两个主线版本的更新，修复了1个“高危”级别的安全漏洞(CVE-2015-1793)。该漏洞可能导致使用OpenSSL的客户端程序在与服务端建立加密连接过程中，其证书校验措施被绕过。

OpenSSL官方对于这一漏洞的描述为：OpenSSL(1.0.1n和1.0.2b以上版本)在证书链验证过程中，如果首次证书链校验失败，则会尝试使用一个其他的证书链来重新尝试进行校验；其实现中存在一个逻辑错误，导致对于非可信证书的一些检查被绕过，这直接的后果导致比如使没有CA签发能力的证书被误判为具有CA签发能力，其进行签发的证书可以通过证书链校验等。

简单的说，黑客很可能利用该漏洞，使用假冒SSL证书发动中间人攻击。此漏洞不禁让人联想起去年震惊整个网络安全界的Heartbleed（心脏滴血）事件。为避免遭到攻击，CFCA提醒OpenSSL用户尽快安装修复补丁。

漏洞名称：Alternative chains certificate forgery(CVE-2015-1793)

漏洞影响版本：OpenSSL 1.0.2c，1.0.2b，1.0.1n和1.0.1o。

官方漏洞描述，请点击这里。

官方补丁下载，请点击这里。