近日，研究人員Adam Langley/David Benjamin (Google/BoringSSL)發(fā)現(xiàn)了一枚新的OpenSSL嚴(yán)重安全漏洞。該漏洞的漏洞編號為CVE-2015-1793，是證書驗(yàn)證的邏輯過程中沒能正確驗(yàn)證新的且不受信任證書造成的。攻擊者可以繞過證書警告，強(qiáng)制應(yīng)用程序?qū)o效證書當(dāng)作合法證書使用。

目前OpenSSL已發(fā)布了OpenSSL 1.0.2b和OpenSSL 1.0.1n兩個(gè)版本的最新更新，修復(fù)了加密協(xié)議中的證書偽造問題。

OpenSSL官方對于這一漏洞的描述為：

OpenSSL(1.0.1n和1.0.2b以上版本)在證書鏈驗(yàn)證過程中，如果首次證書鏈校驗(yàn)失敗，則會嘗試使用一個(gè)其他的證書鏈來重新嘗試進(jìn)行校驗(yàn);其實(shí)是在證書驗(yàn)證中存在一個(gè)邏輯錯(cuò)誤，導(dǎo)致對于非可信證書的一些檢查被繞過，這直接的后果導(dǎo)致比如使沒有CA 簽發(fā)能力的證書被誤判為具有CA簽發(fā)能力，其進(jìn)行簽發(fā)的證書可以通過證書鏈校驗(yàn)等。

受影響的OpenSSL版本

1.0.1n

1.0.2b

1.0.2c

1.0.1o

修復(fù)方式

OpenSSL 1.0.2c/1.0.2b的用戶請升級到 1.0.2d

OpenSSL 1.0.1h/1.0.1o的用戶請升級到 1.0.2p

OpenSSL系列高危漏洞

心臟滴血漏洞：該漏洞去年4月份被發(fā)現(xiàn)，它存在于OpenSSL早期版本中，允許黑客讀取受害者加密數(shù)據(jù)的敏感內(nèi)容，包括信用卡詳細(xì)信息，甚至能夠竊取網(wǎng)絡(luò)服務(wù)器或客戶端軟件的加密SSL密鑰。

POODLE漏洞：幾個(gè)月后，在古老但廣泛應(yīng)用的SSL 3.0加密協(xié)議中發(fā)現(xiàn)了另一個(gè)被稱為POODLE(Padding Oracle On Downgraded Legacy Encryption)的嚴(yán)重漏洞，該漏洞允許攻擊者解密加密連接的內(nèi)容。

FREAK漏洞：該漏洞是今年3月份被發(fā)現(xiàn)，是一種新型的SSL/TLS漏洞，漏洞編號為CVE-2015-0204。它能讓黑客輕松解密網(wǎng)站的私鑰和加密密碼、登錄cookie，以及其他HTTPS傳輸?shù)臋C(jī)密數(shù)據(jù)(比如賬號、密碼)。