加密传输有漏洞OpenSSL火速出补丁!

安全
昨天报道的TLS中间人攻击 (CNBETA), 今天OpenSSL已经有了补丁, 速度挺快.不过这个补丁并不是从协议上修补了漏洞,而只是默认情况下关闭了renegotiation.我们推荐所有使用OpenSSL的用户(网站,或者客户端软件),尽快下载更新到最新版的OpenSSL.

昨天报道的TLS中间人攻击 (CNBETA), 今天OpenSSL已经有了补丁, 速度挺快.

不过这个补丁并不是从协议上修补了漏洞,而只是默认情况下关闭了renegotiation.我们推荐所有使用OpenSSL的用户(网站,或者客户端软件),尽快下载更新到最新版的OpenSSL. 

下载地址: http://www.openssl.org/source/

当然此前也有过讨论, 简单地关闭掉Renegotiation肯定会在某些应用场景下打来一些功能性的问题. 我们推荐在应用补丁之前进行比较充分的测试. 同时,即便是出现了功能性问题, OpenSSL也为此提供了解决方案, 如果出现问题,只需"set a flag and -hup!"

另外, 正如同牛人们(Tom Cross@ISS, Yunshu)指出的那样, 这个漏洞也没什么大不了, 效果更像是CSRF.

什么是CSRF:

CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

【编辑推荐】

  1. 你用SSL VPN要小心它仍有安全漏洞
  2. 网络安全之TCP端口作用、漏洞及操作
  3. FreeBSD安全连接方式SSL
责任编辑:安泉 来源: ecway
相关推荐

2018-05-30 08:31:08

2011-09-07 14:43:24

2013-07-11 14:50:51

2009-05-04 15:58:34

2015-05-20 13:19:23

文件加密影线加密

2024-05-27 09:52:00

Nacos加密配置

2022-11-21 10:49:29

Nacos配置加密

2023-10-18 12:15:35

2015-07-13 09:18:20

2014-04-10 18:52:22

2023-11-10 11:36:44

2019-04-03 08:52:50

2010-03-31 22:39:27

2020-07-20 14:03:03

Chrome 86加密信息

2014-06-06 12:56:16

2012-03-12 17:23:45

2021-07-09 06:01:39

微软漏洞补丁

2021-05-08 05:56:15

加密OpenSSL密钥

2016-06-08 10:09:24

2014-04-15 11:15:00

点赞
收藏

51CTO技术栈公众号