如何发布网络小说,风凌天下

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

OpenSSL再現(xiàn)六個(gè)新漏洞其中一個(gè)可能導(dǎo)致信息泄露

OpenSSL今日再度發(fā)布針對(duì)六項(xiàng)安全漏洞的修復(fù)方案——其中包括一個(gè)允許中間人(簡(jiǎn)稱MITM)竊取加密連接的漏洞，外加一個(gè)可能允許攻擊者向存在風(fēng)險(xiǎn)的系統(tǒng)投放惡意軟件的漏洞。

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括巴中網(wǎng)站建設(shè)、巴中網(wǎng)站制作、巴中網(wǎng)頁(yè)制作以及巴中網(wǎng)絡(luò)營(yíng)銷策劃等。多年來(lái)，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，巴中網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到巴中省份的部分城市，未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

一項(xiàng)DTLS無(wú)效片段漏洞(CVE-2014-0195，受影響的版本包括0.9.8、1.0.0以及1.0.1)可被用于向漏洞軟件所在的應(yīng)用程序或者服務(wù)器注入惡意代碼。DTLS基本上屬于UDP(而非TCP)上的經(jīng)典TLS加密機(jī)制，主要被用于保護(hù)視頻以及語(yǔ)音聊天等實(shí)時(shí)流媒體安全。

不過另一項(xiàng)SSL/TLS中間人漏洞(CVE-2014-0224，潛在影響到所有運(yùn)行1.0.1以及1.0.2-beta1版本的客戶端及服務(wù)器)引發(fā)的后果可能更為嚴(yán)重，OpenSSL官方給出的咨詢解釋為：

攻擊者可以利用經(jīng)過精心制作的握手活動(dòng)強(qiáng)制使用OpenSSL SSL/TLS客戶端及服務(wù)器中的薄弱鍵入機(jī)制。這項(xiàng)漏洞可能會(huì)被中間人攻擊所利用，攻擊者可以借此對(duì)受攻擊的客戶端及服務(wù)器流量進(jìn)行解密與修改。

這一攻擊活動(dòng)只適用于存在漏洞的客戶端和服務(wù)器。OpenSSL全部版本的客戶端都存在這項(xiàng)安全漏洞。目前已知存在該漏洞的服務(wù)器端版本為OpenSSL 1.0.1與1.0.2-beta1。使用OpenSSL 1.0.1乃至更早版本的服務(wù)器用戶建議升級(jí)至新版本以預(yù)防此類安全問題的發(fā)生。

建議用戶和管理員檢查和更新他們的系統(tǒng)，針對(duì)OpenSSL的補(bǔ)丁可用在例如主要發(fā)行版的Linux上。

此次曝光的CVE-2014-0224中間人漏洞自O(shè)penSSL最初版本時(shí)起就已經(jīng)存在，發(fā)現(xiàn)該漏洞的日本安全研究人員Masashi Kikuchi解釋稱。

“好消息是，此類攻擊活動(dòng)(利用CVE-2014-0224)需要中間人定位來(lái)對(duì)受害者進(jìn)行窺探，而且那些非OpenSSL客戶端(包括IE、火狐、桌面版本Chrome以及iOS與Safari等)都不會(huì)受到影響，”谷歌公司高級(jí)軟件工程師Adam Langley今天在自己的個(gè)人博客中指出。

“不過歸根結(jié)底，每一位OpenSSL用戶還是應(yīng)該盡早更新。”

DTLS漏洞的存在同樣令安全專家們驚懼不已?！癘penSSL DTLS漏洞的出現(xiàn)可追溯至今年四月，但直到今天才被正式報(bào)道出來(lái)。它可能允許遠(yuǎn)程代碼在客戶端與服務(wù)器上執(zhí)行(OpenSSL DTLS如今仍是一場(chǎng)安全噩夢(mèng))，”計(jì)算機(jī)科學(xué)教授Matthew Green在一篇推文更新中指出。

“這項(xiàng)OpenSSL安全漏洞只是此類細(xì)化協(xié)議漏洞的一個(gè)典型代表，而LibreSSL不可能在fork中將其修復(fù)?！?/p>

這項(xiàng)建議發(fā)布自臭名昭著的Heartbleed安全漏洞被曝光的僅僅數(shù)周之后的周四。

Green教授預(yù)計(jì)，此次現(xiàn)身的這幾項(xiàng)漏洞在實(shí)際利用方面難度很高——這一點(diǎn)與可能導(dǎo)致密碼泄露的Heartbleed漏洞正好相反。

其它四項(xiàng)修復(fù)措施則已經(jīng)能夠解決拒絕服務(wù)類型的漏洞。

安全漏洞管理企業(yè)Rapid7公司服務(wù)戰(zhàn)略副總裁Nicholas J. Percoco表示，目前有大量不同類型的服務(wù)器及其它互聯(lián)網(wǎng)接入系統(tǒng)需要進(jìn)行更新，從而避免攻擊者利用這些已經(jīng)存在修復(fù)方案的漏洞。

“新近曝光的這些OpenSSL中間人安全漏洞會(huì)影響到所有運(yùn)行著OpenSSL的客戶端應(yīng)用程序及設(shè)備，并在它們與存在漏洞的特定版本、包括最新版本服務(wù)器通信時(shí)引發(fā)問題，”Percoco解釋道。

“其中可能包括在今年四月初Heartbleed被披露后緊急完成過OpenSSL升級(jí)的大部分互聯(lián)網(wǎng)接入系統(tǒng)。中間人攻擊的危險(xiǎn)系數(shù)很高，因?yàn)樗赡茉试S攻擊者截獲客戶端(例如一位終端用戶)與服務(wù)器(例如網(wǎng)上銀行服務(wù))之間本應(yīng)受到嚴(yán)格加密的傳輸信息。

“這類攻擊在本質(zhì)上是被動(dòng)的，而且很可能不會(huì)被客戶端、服務(wù)器或者基于網(wǎng)絡(luò)的安全控制方案檢測(cè)到?！?/p>

Green教授同時(shí)補(bǔ)充稱，盡管有可能在短期內(nèi)給系統(tǒng)管理員帶來(lái)額外的工作壓力與被迫加班，但深入挖掘OpenSSL中可能存在的更多安全漏洞仍然是一項(xiàng)很有意義的積極嘗試。

“OpenSSL安全漏洞在數(shù)量上的突然增長(zhǎng)可以說(shuō)在意料之中，而且并不是什么壞事。這就像是在春季大掃除中找到散落四處的垃圾一樣，”他指出。

備注

匿名網(wǎng)絡(luò)Tor的用戶們應(yīng)當(dāng)毫不遲疑地進(jìn)行更新，因?yàn)檫@種中間人攻擊會(huì)對(duì)Tor客戶端及中繼體系造成影響。讀者朋友們甚至可能碰巧認(rèn)識(shí)那位編寫出漏洞DTLS代碼的家伙，惠普Z(yǔ)DI團(tuán)隊(duì)表示。

文章標(biāo)題：OpenSSL再現(xiàn)六個(gè)新漏洞其中一個(gè)可能導(dǎo)致信息泄露
本文網(wǎng)址：http://fisionsoft.com.cn/article/dhhiehd.html

新聞中心

其他資訊