自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

OpenSSL修復潛伏16年“中間人”漏洞

作者:佚名
安全 漏洞
北京時間6月5日晚間,OpenSSL團隊發(fā)布了5個新的安全補丁,用于修復七處高危漏洞,其中編號為CVE-2014-0224的漏洞已潛伏16年,該漏洞可導致“中間人”截獲OpenSSL加密的網站登錄密碼、電子郵件、聊天記錄等重要數據。

北京時間6月5日晚間,OpenSSL團隊發(fā)布了5個新的安全補丁,用于修復七處高危漏洞,其中編號為CVE-2014-0224的漏洞已潛伏16年,該漏洞可導致“中間人”截獲OpenSSL加密的網站登錄密碼、電子郵件、聊天記錄等重要數據。據360網絡攻防實驗室介紹,由于目前沒有公開的漏洞攻擊代碼,而且OpenSSL已及時發(fā)布補丁,這波漏洞的實際威脅會低于“心臟出血”。

OpenSSL官網公告顯示,本次OpenSSL團隊發(fā)布的5個安全補丁主要修復CVE-2014-0224、CVE-2014-0221、CVE-2014-0195、CVE-2010-5298、CVE-2014-0198、CVE-2014-3470、CVE-2014-0076等七個漏洞,涉及多個OpenSSL版本。

其中,編號為CVE-2014-0195的OpenSSL漏洞可導致黑客遠程執(zhí)行任意代碼,危害較大;編號為CVE-2014-0224漏洞則是潛伏16年的“中間人”漏洞。利用該漏洞,黑客可通過OpenSSL加密的流量發(fā)動“中間人”解密,直接竊聽流量中的內容。不過,只有當服務器和客戶端同時存在該漏洞、且正在互相通信時,黑客才可以解密竊聽流量中的內容。

為了消除安全隱患,360提醒各大網站盡快升級相關OpenSSL版本。因為隨著補丁的發(fā)布,黑客攻擊者會研究補丁制作漏洞攻擊工具,那些沒有及時打補丁的網站將面臨風險。

OpenSSL官網公告:http://www.openssl.org/news/

附:OpenSSL最新漏洞和修復信息

CVE-2014-0224:中間人欺騙(MITM)漏洞,影響客戶端(全版本)和服務端(1.0.1 and 1.0.2-beta1)。

建議:

OpenSSL 0.9.8 SSL/TLS users (client and/or server) 請更新到 0.9.8za.

OpenSSL 1.0.0 SSL/TLS users (client and/or server) 請更新到 1.0.0m.

OpenSSL 1.0.1 SSL/TLS users (client and/or server) 請更新到 1.0.1h.

CVE-2014-0221:拒絕服務漏洞,攻擊者可通過發(fā)送一個惡意的DTLS握手包,導致拒絕服務。

建議:

OpenSSL 0.9.8 DTLS用戶請更新到0.9.8za

OpenSSL 1.0.0 DTLS用戶請更新到1.0.0m.

OpenSSL 1.0.1 DTLS用戶請更新到1.0.1h.

CVE-2014-0195:任意代碼執(zhí)行漏洞,攻擊者可發(fā)送一個惡意的DTLS fragmetns到OpenSSL DTLS客戶端或服務端,將能夠在存在漏洞的客戶端或服務端引起任意代碼執(zhí)行。

建議:

OpenSSL 0.9.8 DTLS 用戶請更新到 0.9.8za

OpenSSL 1.0.0 DTLS 用戶請更新到 1.0.0m.

OpenSSL 1.0.1 DTLS 用戶請更新到 1.0.1h.

CVE-2014-0198:拒絕服務漏洞,do_ssl3_write()函數允許遠程用戶通過一個空指針引用,這個漏洞僅僅影響OpenSSL 1.0.0和1.0.1當SSL_MODE_RELEASE_BUFFERS開啟的環(huán)境(非默認選項)。

建議:

OpenSSL 1.0.0 用戶請更新到 1.0.0m.

OpenSSL 1.0.1 用戶請更新到 1.0.1h.

CVE-2010-5298:會話注入&拒絕服務漏洞,攻擊者利用ssl3_read_bytes 函數的競爭機制可以在會話之間注入數據或者使服務端拒絕服務。

此漏洞僅影響使用OpenSSL1.0.0多線程應用程序和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被啟用(不常見,并非默認設置)。

CVE-2014-3470:拒絕服務漏洞,當OpenSSL TLS客戶端啟用匿名ECDH密碼套件可能導致拒絕服務攻擊。

建議:

OpenSSL 0.9.8 用戶請更新到 0.9.8za

OpenSSL 1.0.0 用戶請更新到 1.0.0m.

OpenSSL 1.0.1 用戶請更新到 1.0.1h.

CVE-2014-0076:OpenSSL ECDSA 加密問題漏洞,OpenSSL 1.0.0l及之前版本中的Montgomery ladder實現過程中存在安全漏洞,該漏洞源于Elliptic Curve Digital Signature Algorithm (ECDSA)中存在錯誤。遠程攻擊者可通過FLUSH+RELOAD Cache旁道攻擊利用該漏洞獲取ECDSA隨機數值。

建議:

OpenSSL 1.0.0m and OpenSSL 0.9.8za 用戶請更新到 OpenSSL 1.0.1g.

責任編輯:王林
OpenSSL
相關推薦

2014-06-06 14:12:40

2025-02-12 14:27:59

2016-09-27 22:45:47

2014-11-21 11:46:55

2020-12-28 10:23:00

中間人攻擊漏洞Kubernetes

2016-10-24 14:23:14

2014-05-14 10:44:02

2014-03-17 09:16:08

2013-11-11 10:36:04

2019-01-28 08:59:59

2020-05-07 15:24:22

中間人攻擊MITM

2017-02-16 08:53:42

2025-02-19 10:47:18

2014-05-15 10:20:07

2015-12-29 10:41:16

2014-03-20 10:26:58

2015-01-05 13:29:37

2015-05-04 14:54:41

2014-11-05 09:41:13

2014-04-09 17:40:00

點贊
收藏

51CTO技術棧公眾號