OpenSSL官方發(fā)布漏洞預(yù)警，提醒系統(tǒng)管理員做好OpenSSL的升級準(zhǔn)備。最新版本OpenSSL將于7月9日(本周四)發(fā)布，修復(fù)了一個未經(jīng)披露的高危漏洞。不少安全專家推測，這個高危漏洞將可能是另一個“心臟滴血”。

[[139648]]

神秘的高危0day漏洞

OpenSSL是一個廣泛使用的開源軟件庫，它使用SSL和TLS為大多數(shù)網(wǎng)站提供加密的互聯(lián)網(wǎng)連接。

OpenSSL項目團(tuán)隊在本周一宣布，即將發(fā)布的OpenSSL加密庫新版本1.0.2d和1.0.1p中解決了一個被定位于“高危”的安全漏洞。

關(guān)于這個神秘的安全漏洞，除了知道它并不影響1.0.0或0.9.8版本之外，目前還沒有更詳細(xì)的消息。在前天公開的一封郵件列表記錄中，開發(fā)者M(jìn)ark J Cox陳述道：

“OpenSSL項目團(tuán)隊宣布即將發(fā)布OpenSSL新版本1.0.2d和1.0.1p，這兩個新版本將于7月9日發(fā)布。值得注意的是，這兩個新版本中都修復(fù)了一個安全等級評定為“高危”的漏洞。不過，這個漏洞并不影響1.0.0或0.9.8版本。”

OpenSSL官方在發(fā)布新版本前發(fā)出預(yù)警，很可能是為了防止在更新補(bǔ)丁發(fā)布給大眾之前，黑客利用該漏洞進(jìn)行攻擊。

不少安全專家推測，這個高危漏洞將可能是另一個“心臟滴血(Heartbleed)”漏洞或POODLE漏洞，而這兩者曾被認(rèn)為是最糟糕的TLS/SSL漏洞，直到今天人們認(rèn)為它們?nèi)匀辉谟绊懟ヂ?lián)網(wǎng)上的網(wǎng)站。

OpenSSL高危漏洞回顧

心臟滴血漏洞：該漏洞去年4月份被發(fā)現(xiàn)，它存在于OpenSSL早期版本中，允許黑客讀取受害者加密數(shù)據(jù)的敏感內(nèi)容，包括信用卡詳細(xì)信息，甚至能夠竊取網(wǎng)絡(luò)服務(wù)器或客戶端軟件的加密SSL密鑰。

POODLE漏洞：幾個月后，在古老但廣泛應(yīng)用的SSL 3.0加密協(xié)議中發(fā)現(xiàn)了另一個被稱為POODLE(Padding Oracle On Downgraded Legacy Encryption)的嚴(yán)重漏洞，該漏洞允許攻擊者解密加密連接的內(nèi)容。

OpenSSL在今年3月份的一次更新中修復(fù)了一批高嚴(yán)重性的漏洞，其中包括拒絕服務(wù)漏洞(CVE-2015-0291)，它允許攻擊者攻擊在線服務(wù)并使其崩潰;此外還有FREAK漏洞(CVE-2015-0204)，它允許攻擊者迫使客戶端使用弱加密方式。