查看: 110960|回复: 410

OpenSSL最新高危漏洞(CVE-2015-1793)补丁发布

[复制链接]
  • TA的每日心情

    5 天前
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2015-7-13 17:25:58 | 显示全部楼层 |阅读模式
    14365092252665.jpg

    研究人员Adam Langley/David Benjamin (Google/BoringSSL)近日发现了一枚新的OpenSSL严重安全漏洞。该漏洞的漏洞编号为CVE-2015-1793,是证书验证的逻辑过程中没能正确验证新的且不受信任证书造成的。攻击者可以绕过证书警告,强制应用程序将无效证书当作合法证书使用。

    昨天OpenSSL发布了OpenSSL 1.0.2b和OpenSSL 1.0.1n两个版本的最新更新,修复了加密协议中的证书伪造问题。

    OpenSSL官方对于这一漏洞的描述为:

    OpenSSL(1.0.1n和1.0.2b以上版本)在证书链验证过程中,如果首次证书链校验失败,则会尝试使用一个其他的证书链来重新尝试进行校验;其实是在证书验证中存在一个逻辑错误,导致对于非可信证书的一些检查被绕过,这直接的后果导致比如使没有CA 签发能力的证书被误判为具有CA签发能力,其进行签发的证书可以通过证书链校验等。
    受影响的OpenSSL版本

    1.0.1n
    1.0.2b
    1.0.2c
    1.0.1o
    修复方式

    OpenSSL 1.0.2c/1.0.2b的用户请升级到 1.0.2d

    OpenSSL 1.0.1h/1.0.1o的用户请升级到 1.0.1p

    OpenSSL系列高危漏洞

    心脏滴血漏洞:该漏洞去年4月份被发现,它存在于OpenSSL早期版本中,允许黑客读取受害者加密数据的敏感内容,包括信用卡详细信息,甚至能够窃取网络服务器或客户端软件的加密SSL密钥。

    POODLE漏洞:几个月后,在古老但广泛应用的SSL 3.0加密协议中发现了另一个被称为POODLE(Padding Oracle On Downgraded Legacy Encryption)的严重漏洞,该漏洞允许攻击者解密加密连接的内容。

    FREAK漏洞:该漏洞是今年3月份被发现,是一种新型的SSL/TLS漏洞,漏洞编号为CVE-2015-0204。它能让黑客轻松解密网站的私钥和加密密码、登录cookie,以及其他HTTPS传输的机密数据(比如账号、密码)。
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-7-17 03:59:33 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-18 00:39:58 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-20 03:04:07 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-20 14:53:30 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-21 17:25:39 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-22 01:35:58 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-22 12:53:05 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-22 18:31:30 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-22 19:23:28 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-19 01:11 , Processed in 0.020321 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部