|
OpenSSL修复严重的缺陷,可以使中间人攻击 灰鸽子下载,远程控制软件
广泛使用OpenSSL库中的一个缺陷可以让中间人攻击者冒充HTTPS服务器和窥探加密流量。大多数浏览器不受影响,但其他应用程序和嵌入式设备。
周四公布的OpenSSL 1.0.1p和1.0.2d版本修复一个问题,可以用来绕过某些检查和技巧OpenSSL治疗任何有效证书属于证书颁发机构。
攻击者可以利用这个生成流氓证书将由OpenSSL接受的任何网站。
“这个漏洞确实是唯一有用的一个活跃的攻击者,他已经能够执行一个中间人的这个攻击,本地或上游的受害者,”托德说比尔兹利,安全Rapid7工程经理,通过电子邮件。“这限制攻击演员的可行性已经在一个特权地位的客户端和服务器之间的啤酒花,或者是在同一个局域网,可以模仿DNS或网关”。
(同样在ITworld:低和花费的方法来了解IT安全)
OpenSSL版本中引入的问题是1.0.1n和1.0.2b发布6月11日修复其他5个安全漏洞。
开发人员和服务器管理员做了正确的事情和更新他们的OpenSSL版本上个月,应该立即再次这样做。
OpenSSL 1.0.1o和1.0.2c版本发布的6月12日也受到影响,灰鸽子使用教程。
这个问题将影响任何应用程序验证证书包括SSL / TLS /迪泰客户和SSL / TLS /迪泰服务器使用客户端身份验证,“OpenSSL项目在周四公布的安全顾问说。
服务器验证客户端证书进行身份验证的一个例子是VPN服务器。
幸运的是,四个主要的浏览器则不受影响,因为他们不使用OpenSSL来验证证书。Mozilla Firefox,苹果Safari和Internet Explorer使用自己的密码库和Google Chrome使用BoringSSL,OpenSSL的Google的叉。BoringSSL开发者提交实际发现新的漏洞和补丁OpenSSL。
现实世界的影响可能不是很高。有桌面和移动应用程序使用OpenSSL加密网络流量,以及服务器和物联网设备,用它来确保机器对机器通信。
但即便如此,他们的数量是小的数量相比,Web浏览器安装和不太可能,他们中的许多人使用最新版本的OpenSSL是脆弱的,主任伊万Ristic说工程安全厂商Qualys和创造者的SSL实验室,远控,免杀远控。
例如,OpenSSL包分发一些Linux发行版,包括Red Hat,Debian和Ubuntu不受影响。
这是因为Linux发行版通常自行将新版本的安全补丁包而不是功能添加到旧完全更新新版本。 |
|