OpenSSL官方發(fā)布漏洞預警,提醒系統(tǒng)管理員做好OpenSSL的升級準備。最新版本OpenSSL將于7月9日(本周四)發(fā)布,修復了一個未經(jīng)披露的高危漏洞。不少安全專家推測,這個高危漏洞將可能是另一個“心臟滴血”。
神秘的高危0day漏洞
OpenSSL是一個廣泛使用的開源軟件庫,它使用SSL和TLS為大多數(shù)網(wǎng)站提供加密的互聯(lián)網(wǎng)連接。
OpenSSL項目團隊在本周一宣布,即將發(fā)布的OpenSSL加密庫新版本1.0.2d和1.0.1p中解決了一個被定位于“高危”的安全漏洞。
關(guān)于這個神秘的安全漏洞,除了知道它并不影響1.0.0或0.9.8版本之外,目前還沒有更詳細的消息。在前天公開的一封郵件列表記錄中,開發(fā)者Mark J Cox陳述道:
“OpenSSL項目團隊宣布即將發(fā)布OpenSSL新版本1.0.2d和1.0.1p,這兩個新版本將于7月9日發(fā)布。值得注意的是,這兩個新版本中都修復了一個安全等級評定為“高危”的漏洞。不過,這個漏洞并不影響1.0.0或0.9.8版本。”
OpenSSL官方在發(fā)布新版本前發(fā)出預警,很可能是為了防止在更新補丁發(fā)布給大眾之前,黑客利用該漏洞進行攻擊。
不少安全專家推測,這個高危漏洞將可能是另一個“心臟滴血(Heartbleed)”漏洞或POODLE漏洞,而這兩者曾被認為是最糟糕的TLS/SSL漏洞,直到今天人們認為它們?nèi)匀辉谟绊懟ヂ?lián)網(wǎng)上的網(wǎng)站。
OpenSSL高危漏洞回顧
心臟滴血漏洞:該漏洞去年4月份被發(fā)現(xiàn),它存在于OpenSSL早期版本中,允許黑客讀取受害者加密數(shù)據(jù)的敏感內(nèi)容,包括信用卡詳細信息,甚至能夠竊取網(wǎng)絡服務器或客戶端軟件的加密SSL密鑰。
POODLE漏洞:幾個月后,在古老但廣泛應用的SSL 3.0加密協(xié)議中發(fā)現(xiàn)了另一個被稱為POODLE(Padding Oracle On Downgraded Legacy Encryption)的嚴重漏洞,該漏洞允許攻擊者解密加密連接的內(nèi)容。
OpenSSL在今年3月份的一次更新中修復了一批高嚴重性的漏洞,其中包括拒絕服務漏洞(CVE-2015-0291),它允許攻擊者攻擊在線服務并使其崩潰;此外還有FREAK漏洞(CVE-2015-0204),它允許攻擊者迫使客戶端使用弱加密方式。