OpenSSL最新高危漏洞（CVE-2015-1793）补丁发布

90_ · 发表于 2015-7-13 17:25:58

研究人员Adam Langley/David Benjamin (Google/BoringSSL)近日发现了一枚新的OpenSSL严重安全漏洞。该漏洞的漏洞编号为CVE-2015-1793，是证书验证的逻辑过程中没能正确验证新的且不受信任证书造成的。攻击者可以绕过证书警告，强制应用程序将无效证书当作合法证书使用。

昨天OpenSSL发布了OpenSSL 1.0.2b和OpenSSL 1.0.1n两个版本的最新更新，修复了加密协议中的证书伪造问题。

OpenSSL官方对于这一漏洞的描述为：

OpenSSL(1.0.1n和1.0.2b以上版本)在证书链验证过程中，如果首次证书链校验失败，则会尝试使用一个其他的证书链来重新尝试进行校验;其实是在证书验证中存在一个逻辑错误，导致对于非可信证书的一些检查被绕过，这直接的后果导致比如使没有CA 签发能力的证书被误判为具有CA签发能力，其进行签发的证书可以通过证书链校验等。
受影响的OpenSSL版本

1.0.1n
1.0.2b
1.0.2c
1.0.1o
修复方式

OpenSSL 1.0.2c/1.0.2b的用户请升级到 1.0.2d

OpenSSL 1.0.1h/1.0.1o的用户请升级到 1.0.1p

OpenSSL系列高危漏洞

心脏滴血漏洞：该漏洞去年4月份被发现，它存在于OpenSSL早期版本中，允许黑客读取受害者加密数据的敏感内容，包括信用卡详细信息，甚至能够窃取网络服务器或客户端软件的加密SSL密钥。

POODLE漏洞：几个月后，在古老但广泛应用的SSL 3.0加密协议中发现了另一个被称为POODLE（Padding Oracle On Downgraded Legacy Encryption）的严重漏洞，该漏洞允许攻击者解密加密连接的内容。

FREAK漏洞：该漏洞是今年3月份被发现，是一种新型的SSL/TLS漏洞，漏洞编号为CVE-2015-0204。它能让黑客轻松解密网站的私钥和加密密码、登录cookie，以及其他HTTPS传输的机密数据（比如账号、密码）。

CHRIS · 发表于 2015-7-17 03:59:33

支持，看起来不错呢！

ayang · 发表于 2015-7-18 00:39:58

支持，看起来不错呢！

arctic · 发表于 2015-7-20 03:04:07

学习学习技术，加油！

54hacker · 发表于 2015-7-20 14:53:30

支持，看起来不错呢！

a136 · 发表于 2015-7-21 17:25:39

还是不错的哦，顶了

ayang · 发表于 2015-7-22 01:35:58

还是不错的哦，顶了

ayang · 发表于 2015-7-22 12:53:05

还是不错的哦，顶了

CHRIS · 发表于 2015-7-22 18:31:30

若冰 · 发表于 2015-7-22 19:23:28

支持中国红客联盟(ihonker.org)

OpenSSL最新高危漏洞（CVE-2015-1793）补丁发布

指导单位

旗下站点

联系我们