OpenSSL最新高危漏洞(CVE-2015-1793)补丁发布

安全 漏洞
研究人员Adam Langley/David Benjamin (Google/BoringSSL)近日发现了一枚新的OpenSSL严重安全漏洞。目前OpenSSL已发布了OpenSSL 1.0.2b和OpenSSL 1.0.1n两个版本的最新更新,修复了加密协议中的证书伪造问题。

近日,研究人员Adam Langley/David Benjamin (Google/BoringSSL)发现了一枚新的OpenSSL严重安全漏洞。该漏洞的漏洞编号为CVE-2015-1793,是证书验证的逻辑过程中没能正确验证新的且不受信任证书造成的。攻击者可以绕过证书警告,强制应用程序将无效证书当作合法证书使用。

OpenSSL最新高危漏洞(CVE-2015-1793)补丁发布

目前OpenSSL已发布了OpenSSL 1.0.2b和OpenSSL 1.0.1n两个版本的最新更新,修复了加密协议中的证书伪造问题。

OpenSSL官方对于这一漏洞的描述为:

OpenSSL(1.0.1n和1.0.2b以上版本)在证书链验证过程中,如果首次证书链校验失败,则会尝试使用一个其他的证书链来重新尝试进行校验;其实是在证书验证中存在一个逻辑错误,导致对于非可信证书的一些检查被绕过,这直接的后果导致比如使没有CA 签发能力的证书被误判为具有CA签发能力,其进行签发的证书可以通过证书链校验等。

受影响的OpenSSL版本

1.0.1n

1.0.2b

1.0.2c

1.0.1o

修复方式

OpenSSL 1.0.2c/1.0.2b的用户请升级到 1.0.2d

OpenSSL 1.0.1h/1.0.1o的用户请升级到 1.0.2p

OpenSSL系列高危漏洞

心脏滴血漏洞:该漏洞去年4月份被发现,它存在于OpenSSL早期版本中,允许黑客读取受害者加密数据的敏感内容,包括信用卡详细信息,甚至能够窃取网络服务器或客户端软件的加密SSL密钥。

POODLE漏洞:几个月后,在古老但广泛应用的SSL 3.0加密协议中发现了另一个被称为POODLE(Padding Oracle On Downgraded Legacy Encryption)的严重漏洞,该漏洞允许攻击者解密加密连接的内容。

FREAK漏洞:该漏洞是今年3月份被发现,是一种新型的SSL/TLS漏洞,漏洞编号为CVE-2015-0204。它能让黑客轻松解密网站的私钥和加密密码、登录cookie,以及其他HTTPS传输的机密数据(比如账号、密码)。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2009-02-04 11:24:12

2015-04-16 15:14:54

2022-03-09 13:25:21

脏管道Linux 内核漏洞

2011-03-21 10:46:04

2014-06-06 12:56:16

2010-08-03 09:51:22

2021-03-31 11:29:12

OpenSSLDoS证书验证漏洞

2015-01-23 16:57:09

2010-01-17 21:59:04

2021-03-29 12:57:31

漏洞OpenSSLDos

2015-07-09 13:46:15

漏洞OpenSSL

2013-07-18 15:09:27

2023-10-18 12:15:35

2015-08-21 14:55:03

2015-01-29 11:47:35

2013-04-22 15:47:35

漏洞CVE-2013-00IE

2021-12-12 22:11:08

openEuler操作系统Log4j

2017-05-27 10:22:37

2013-01-15 09:18:33

2009-11-07 14:29:40

点赞
收藏

51CTO技术栈公众号