心脏尚未止血,OpenSSL再曝潜伏长达16年的加密漏洞

京东存OpenSSL安全漏洞

作为互联网最关键的安全保护技术之一,在“心脏出血”漏洞尚未愈合之时,OpenSSL近日再次爆出严重漏洞,攻击者可利用该漏洞发起中间人攻击解密甚至篡改加密数据流。

研究者近日在OpenSSL密码库中又发现了一个严重漏洞,当服务器运行OpenSSL版本1.0.1和1.0.2-beta1时,攻击者可以利用这个漏洞解密并修改受TLS协议保护的网页、电子邮件和VPN流量。

OpenSSL开源代码库维护者本周四在安全建议中向用户发出漏洞警告,并敦促运行OpenSSL1.0.1以及更早版本的服务器尽快升级,以防万一。

让人震惊的是,该漏洞从OpenSSL诞生的那一刻就已经存在,迄今已16个年头。系统管理人员需尽快到OpenSSL网站的首页更新密码库。

最新的漏洞由软件开发人员Lepidum首先发现,该漏洞代号CVE-2014-0224,存在于ChangeCipherSpec进程中,可以让攻击者监控端点用户和服务器之间的连接,并在客户端设备上强制使用弱密钥,攻击者进而利用这些弱秘钥解密流量,甚至篡改数据流。

根据OpenSSL维护者的通告,所有使用OpenSSL旧版本的客户端设备,以及运行1.01和1.0.2-beta1版本OpenSSL的服务器都存在该漏洞,但只有当客户端和服务器端同时运行存在漏洞的OpenSSL版本时,攻击者才能实施攻击。

虽然此次OpenSSL爆出的漏洞也相当严重,但是危害性却没有八周前爆出的心脏出血漏洞大。因为攻击者利用新漏洞的攻击难度更大,而且不像心脏出血漏洞那样任何人都能攻击一台服务器拿走大量用户数据,攻击者利用新漏洞一次只能攻击一个目标,而且攻击者需要对客户端和服务器端链接拥有一定的控制,才能发起中间人攻击。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

最牛的信息安全新媒体 (www.aqniu.com)