OpenSSL受到多个漏洞影响,官方呼吁尽快升级

标签: 专题 资讯 ccs injection ccs注入 openssl | 发表时间:2014-06-06 11:38 | 作者:0000000
出处:http://www.freebuf.com

还记得OpenSSL 心脏滴血漏洞么?几周前,这一漏洞的披露曾震惊互联网,全球有上百万使用OpenSSL对通信进行加密的网站受到该漏洞的影响。

无独有偶,OpenSSL基金会最近又发布了一些更新,修复了六个OpenSSL中的安全漏洞,其中两个为严重级别。

‍‍‍‍‍‍ 中间人攻击(CVE-2014-0224)‍‍‍‍‍‍‍‍

OpenSSL中的第一个严重漏洞(CVE-2014-0224)被称为“CCS 注入”。在OpenSSL建立握手连接的阶段,会发送一种名为ChangeCipherSpec(CCS)的请求,在发送该请求时,攻击者可以通过中间人攻击来劫持服务端与客户端之间的加密通信。

利用该问题,攻击者能够解析加密的链接并将其解密,读取或对通信数据进行操作。但该问题如想成功利用必须服务端域客户端双方均存在该问题。

根据OpenSSL的 报告,“攻击者使用精心构造的握手包能够强制客户端和服务端之间使用弱密钥进行通信。”客户端的OpenSSL所有版本均受影响。只有1.0.1及以上版本是影响服务端的。尤其是一些SSL VPN产品,在该漏洞前几乎全军覆没。

OpenSSL CCS注入漏洞是由一位来自日本Lepidum安全公司的安全研究人员Masashi Kikuchi发现的。根据他的描述,该问题在OpenSSL第一版发布时就已经存在了。RedHat随后也在他们的安全博客中解释了该漏洞的一些 细节


无效的DTLS碎片漏洞(CVE-2014-0195):向OpenSSL DTLS的客户端或服务端发送无效的DTLS碎片能够导致缓冲区溢出攻击。潜在的攻击者能够利用该漏洞在受影响的客户端或服务端中执行任意代码。

DTLS死循环DOS攻击(CVE-2014-0221):远程攻击者能够发送无效的DTLS握手请求来使目标的处理逻辑进入死循环状态并最终耗尽资源而崩溃。该攻击仅影响将OpenSSL作为DTLS客户端的应用。

好消息是这些 漏洞都没有心脏滴血漏洞那么严重。打过补丁的版本是0.9.8za,1.0.0m和1.0.1h,在OpenSSL官网中已经提供下载了。OpenSSL官方呼吁各厂商尽快更新他们的SSL实现。

via:http://thehackernews.com/2014/06/openssl-vulnerable-to-man-in-middle.html

相关 [openssl 漏洞 官方] 推荐:

OpenSSL受到多个漏洞影响,官方呼吁尽快升级

- - FreeBuf.COM
还记得OpenSSL 心脏滴血漏洞么. 几周前,这一漏洞的披露曾震惊互联网,全球有上百万使用OpenSSL对通信进行加密的网站受到该漏洞的影响. 无独有偶,OpenSSL基金会最近又发布了一些更新,修复了六个OpenSSL中的安全漏洞,其中两个为严重级别. ‍‍‍‍‍‍ 中间人攻击(CVE-2014-0224)‍‍‍‍‍‍‍‍.

OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

- - Tsung's Blog
OpenSSL 爆發出嚴重的安全性漏洞, 請趕快檢測 + 升級.. OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測. 關於此次事件, 此篇文章: OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞, 寫的非常清楚, 在此就不詳述, 再此摘錄部份說明: (感謝 Allen Own).

漏洞播报:OpenSSL “heartbleed” CVE-2014-0160 安全漏洞附利用测试exp

- - Seay's blog 网络安全博客
测试脚本: http://pan.baidu.com/s/1hq41y9A . OpenSSL官方网站4月7日发布 公告,有研究人员发现OpenSSL 1.0.1和1.0.2-beta版本中存在安全漏洞(编号为CVE-2014-0160),可能暴露密钥和私密通信,应该尽快修补,方法是:. 升级到最新版本OpenSSL 1.0.1g.

解析OpenSSL“心脏流血”:最危险的网站安全漏洞?

- - 创业邦
  美国新闻网站Vox周二撰文,对当天公布的OpenSSL“心脏流血”漏洞进行了全面解读.   SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息. 当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密.   这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息.

linux下安装nginx、pcre、zlib、openssl

- - CSDN博客推荐文章
1、安装nginx之前需要安装 PCRE库的安装. 最新下载地址   ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/. tar –zxvf pcre-8.21.tar.gz,解压目录为:pcre-8.21. 然后进入到 cd pcre-8.21,进行配置、编译、安装.

Google创建OpenSSL分支,宣布BoringSSL

- - Solidot
在OpenBSD创建OpenSSL分支LibreSSL两个月后,Google宣布了它创建的OpenSSL分支BoringSSL. Google安全团队的Adam Langley在个人博客上说,他们使用了超过70个OpenSSL补丁,部分被接受合并到了OpenSSL主库,但大部分没有. 随着Android、Chrome和其它项目开始需要这些补丁的子集,事情日益变得复杂,要保证所有补丁在不同代码库正常工作需要太多精力.

Struts2官方再曝两枚高危漏洞(目前暂无POC)

- - FreeBuf.COM | 关注黑客与极客
Struts2前段时间才爆出了 s2-032的高危漏洞,当时导致全球使用Struts2架构的网站几乎无一幸免于这场安全灾难. 但就在6月1日,这个全球儿童欢乐的节日,Struts官网再次公布了一个安全威胁公告——公告中说明Struts2又曝出了两枚漏洞,编号s2-033和s2-034. 在使用REST插件并开启动态方法调用时,可导致远程代码执行.

Google发布Chrome官方扩展DOM Snitch 可发现网页代码漏洞

- 小老虎 - cnBeta.COM
Google今天发布了一个名为DOM Snitch的Chrome官方扩展,它可以让开发者和安全人士在浏览网站时自动识别出不安全的代码,这种扩展的灵感其实是来自于5周之前一家安全公司Mind Security在Firefox上的作品DOMinator,使用这种工具用户可以轻易发现例如XSS、数据泄漏等问题,并指出问题所在的代码段,帮助用户规避以及厂商发现后修补.

openssl心脏出血bug的补丁修复

- - 行业应用 - ITeye博客
先到 https://www.openssl.org/source/ 这里下载 openssl-1.0.1g.tar.gz. 已有 0 人发表留言,猛击->> 这里<<-参与讨论. —软件人才免语言低担保 赴美带薪读研.

OpenBSD清理OpenSSL代码 一周递交数百补丁

- - cnBeta.COM
在OpenSSL的高危漏洞Heartbleed曝光之后,鉴于OpenSSL项目人手短缺反应迟钝,下游的OpenBSD项目 发起了清理OpenSSL代码的行动,准备以OpenBSD的安全标准去移除和替换OpenSSL中的不安全代码. OpenBSD的行动是独立发起的,并没有获得OpenSSL项目的配合,它也没有说明是否会将新代码递交到上游的OpenSSL.