又一个“心脏滴血”? OpenSSL将发布安全补丁

安全 漏洞
OpenSSL官方发布漏洞预警,提醒系统管理员做好OpenSSL的升级准备。

OpenSSL官方发布漏洞预警,提醒系统管理员做好OpenSSL的升级准备。最新版本OpenSSL将于7月9日(本周四)发布,修复了一个未经披露的高危漏洞。不少安全专家推测,这个高危漏洞将可能是另一个“心脏滴血”。

[[139648]]

神秘的高危0day漏洞

OpenSSL是一个广泛使用的开源软件库,它使用SSL和TLS为大多数网站提供加密的互联网连接。

OpenSSL项目团队在本周一宣布,即将发布的OpenSSL加密库新版本1.0.2d和1.0.1p中解决了一个被定位于“高危”的安全漏洞。

关于这个神秘的安全漏洞,除了知道它并不影响1.0.0或0.9.8版本之外,目前还没有更详细的消息。在前天公开的一封邮件列表记录中,开发者Mark J Cox陈述道:

“OpenSSL项目团队宣布即将发布OpenSSL新版本1.0.2d和1.0.1p,这两个新版本将于7月9日发布。值得注意的是,这两个新版本中都修复了一个安全等级评定为“高危”的漏洞。不过,这个漏洞并不影响1.0.0或0.9.8版本。”

OpenSSL官方在发布新版本前发出预警,很可能是为了防止在更新补丁发布给大众之前,黑客利用该漏洞进行攻击。

不少安全专家推测,这个高危漏洞将可能是另一个“心脏滴血(Heartbleed)”漏洞或POODLE漏洞,而这两者曾被认为是最糟糕的TLS/SSL漏洞,直到今天人们认为它们仍然在影响互联网上的网站。

OpenSSL高危漏洞回顾

心脏滴血漏洞:该漏洞去年4月份被发现,它存在于OpenSSL早期版本中,允许黑客读取受害者加密数据的敏感内容,包括信用卡详细信息,甚至能够窃取网络服务器或客户端软件的加密SSL密钥。

POODLE漏洞:几个月后,在古老但广泛应用的SSL 3.0加密协议中发现了另一个被称为POODLE(Padding Oracle On Downgraded Legacy Encryption)的严重漏洞,该漏洞允许攻击者解密加密连接的内容。

OpenSSL在今年3月份的一次更新中修复了一批高严重性的漏洞,其中包括拒绝服务漏洞(CVE-2015-0291),它允许攻击者攻击在线服务并使其崩溃;此外还有FREAK漏洞(CVE-2015-0204),它允许攻击者迫使客户端使用弱加密方式。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2014-01-15 11:05:48

2014-11-12 09:21:31

2013-03-18 16:34:08

2010-08-11 14:59:35

2009-06-05 09:02:18

2020-02-18 20:28:23

AI人工智能

2023-05-14 23:38:43

Glarity用户视频

2022-02-06 20:55:39

jsEsbuild项目

2011-06-15 10:15:56

2012-11-14 14:55:41

2011-08-11 10:21:53

安全

2009-05-08 09:08:12

2012-07-06 10:43:19

2012-04-12 09:53:02

2009-10-12 13:04:01

2014-04-18 10:05:07

2012-10-10 14:21:09

2011-09-05 16:01:51

2009-04-16 09:52:45

安全补丁漏洞微软

2019-08-13 09:31:53

浏览器 Chrome Google
点赞
收藏

51CTO技术栈公众号