|
|
严重的OpenSSL新发现的缺陷中间的攻击成为可能。远程控制软件,灰鸽子下载
研究人员发现新的缺陷流行的开源OpenSSL加密库,至少其中两个被认为是严重的。
安全顾问OpenSSL描述缺陷:
“攻击者使用一个精心准备的握手可以强制使用OpenSSL SSL / TLS弱键控材料的客户端和服务器。这可以利用一个中间人(这个)攻击,攻击者可以解密和修改客户机和服务器的流量攻击。”
Masahi菊池的日本软件公司Lepidum发现了错误,并表示OpenSSL首次发布以来就已经存在了。
菊池认为错误的原因还没有被发现在过去的16年代码审查不足,特别是专家与传输层安全性/安全套接字层(TLS / SSL)实现经验。
他也相信SSL协议3.0版规范文档可以在如何实现ChangeCipherSpec清晰内容类型,以便验证特定条件下安全接受它之前在握手或连接客户端和服务器之间的谈判。灰鸽子使用教程
OpenSSL是用于数以百万计的世界各地的服务器进行身份验证和安全通信。
的严重Heartbleed敞开系统检测不到攻击的安全漏洞,OpenSSL项目收到了资金和支持Linux基金会的核心基础设施计划,以加强安全审查。
另一个OpenSSL缺陷影响的处理数据报传输层安全性(DTLS)碎片意味着它可以发送一个专门制作的用户数据报协议(UDP)数据包,导致应用程序崩溃和拒绝服务,惠普安全研究员Brian Gorenc写道。
Gorenc说更严重的攻击是可能的,并且理论上也可以注入恶意代码,并可能执行它的特权运行的过程和使用OpenSSL。
问题中的代码被罗宾Seggelman致力于OpenSSL,相同的人介绍了最近的大规模Heartbleed脆弱性,Gorenc笔记。
“当然,Seggelmann并非完全责任。OpenSSL是一个开源项目。许多眼睛,看看这段代码没能抓住这个bug,但是新一代的人看这段代码…特别是在Seggelmann的代码。这段代码现在已知的漏洞。在水中有血,”Gorenc说。灰鸽子远控
其他三个缺陷,可用于使用OpenSSL也拒绝服务攻击应用程序固定组最新的补丁。
OpenSSL建议软件升级它的用户根据以下指南:
OpenSSL 0.9.8用户应该升级到0.9.8za
OpenSSL 1.0.0用户应该升级到1.0.0m
OpenSSL 1.0.1用户应该升级到1.0.1h
谷歌,它使用OpenSSL在一些应用程序中,已经发布了新版本的Android Chrome网络浏览器,并将使它可以在app store在接下来的几天里玩。 |
|
加载中...
发表于 2014-6-6 09:23:08
发表于 2014-6-30 18:44:28