OpenSSL现高危漏洞 请尽快更新补丁
2015-07-10 00:00
423 查看
摘要: 简单的说,黑客很可能利用该漏洞,使用假冒SSL证书发动中间人攻击。
15年7月9日,OpenSSL官方发布了1.0.2d和1.0.1p两个主线版本的更新,修复了1个“高危”级别的安全漏洞(CVE-2015-1793)。该漏洞可能导致使用OpenSSL的客户端程序在与服务端建立加密连接过程中,其证书校验措施被绕过。
OpenSSL官方对于这一漏洞的描述为:OpenSSL(1.0.1n和1.0.2b以上版本)在证书链验证过程中,如果首次证书链校验失败,则会尝试使用一个其他的证书链来重新尝试进行校验;其实现中存在一个逻辑错误,导致对于非可信证书的一些检查被绕过,这直接的后果导致比如使没有CA签发能力的证书被误判为具有CA签发能力,其进行签发的证书可以通过证书链校验等。
简单的说,黑客很可能利用该漏洞,使用假冒SSL证书发动中间人攻击。此漏洞不禁让人联想起去年震惊整个网络安全界的Heartbleed(心脏滴血)事件。为避免遭到攻击,CFCA提醒OpenSSL用户尽快安装修复补丁。
漏洞名称:Alternative chains certificate forgery(CVE-2015-1793)
漏洞影响版本:OpenSSL 1.0.2c,1.0.2b,1.0.1n和1.0.1o。
官方漏洞描述,请点击这里。
官方补丁下载,请点击这里。
15年7月9日,OpenSSL官方发布了1.0.2d和1.0.1p两个主线版本的更新,修复了1个“高危”级别的安全漏洞(CVE-2015-1793)。该漏洞可能导致使用OpenSSL的客户端程序在与服务端建立加密连接过程中,其证书校验措施被绕过。
OpenSSL官方对于这一漏洞的描述为:OpenSSL(1.0.1n和1.0.2b以上版本)在证书链验证过程中,如果首次证书链校验失败,则会尝试使用一个其他的证书链来重新尝试进行校验;其实现中存在一个逻辑错误,导致对于非可信证书的一些检查被绕过,这直接的后果导致比如使没有CA签发能力的证书被误判为具有CA签发能力,其进行签发的证书可以通过证书链校验等。
简单的说,黑客很可能利用该漏洞,使用假冒SSL证书发动中间人攻击。此漏洞不禁让人联想起去年震惊整个网络安全界的Heartbleed(心脏滴血)事件。为避免遭到攻击,CFCA提醒OpenSSL用户尽快安装修复补丁。
漏洞名称:Alternative chains certificate forgery(CVE-2015-1793)
漏洞影响版本:OpenSSL 1.0.2c,1.0.2b,1.0.1n和1.0.1o。
官方漏洞描述,请点击这里。
官方补丁下载,请点击这里。
相关文章推荐
- Docker在容器中使用MySQL
- Docker自动部署Apache Tomcat
- calabash-android 链接整理
- iOS Automated Testing With Calabash, Cucumber
- Linux进程地址空间与虚拟内存
- Linux系统下如何配置SSH?如何开启SSH?
- Linux服务篇之六:源码包构建LAMP架构配置
- win7通过securecrt连接VMware中的centOS安装FTP服务器
- Linux关闭防火墙命令
- dumpstate uid 由root-->shell
- 内核堆栈和用户堆栈
- xubuntu openocd nRF51822 download
- linux使用flock文件锁解决crontab冲突问题
- [Maven]linux下eclipse中修改maven仓库地址
- 《学习OpenCV》第三章课后题8-b
- jsp(六) setProperty getProperty
- linux ACL权限的使用
- linux运维笔记——常用命令详解diff
- linux运维笔记——常用命令详解diff
- 关于Linux下上网速度慢的问题