当前位置:安全行业动态 → 正文

OpenSSL曝新漏洞可被用于“中间人”攻击

责任编辑:editor004 |来源:企业网D1Net  2014-06-09 13:52:56 本文摘自:比特网

本周,OpenSSL基金会发布警告称,一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动“中间人”攻击。

据了解,这个新发现的OpenSSL漏洞可被用于拦截经过加密的安全套接层(SSL)和安全传输层(TLS)通讯,发动“中间人攻击”。目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息,黑客可能利用新漏洞去拦截加密流量,对其进行解密,随后阅读流量中的内容。

这一安全漏洞由日本IT咨询公司Lepidum研究员Masashi Kikuchi发现,已经在周四发布的OpenSSL 0.9.8za、1.0.0m、1.0.1h版本中进行了修复。新版软件还修复了三个拒绝服务问题以及一处当OpenSSL库被用于数据安全传输层(DTLS)连接时出现的远程代码执行漏洞。

OpenSSL的用户被建议安装新的补丁,并升级至OpenSSL软件的最新版本。与能够导致服务器直接受到攻击的“心脏流血”漏洞不同,这一新漏洞要求黑客位于两台通信的计算机之间。例如,使用机场公开WiFi的用户可能成为被攻击目标。

值得关注的是,这一漏洞自1998年OpenSSL首次发布以来就一直存在。而“心脏流血”漏洞是在2011年新年OpenSSL进行升级时引入的。

这一漏洞在长达十几年的时间内一直没有被发现,这再次表明了OpenSSL管理的缺陷。OpenSSL是开源的,这意味着任何人都可以对其进行评估及更新。

此外,令人欣慰的消息是,这种攻击需要中间人,非OpenSSL客户端(IE、Firefox、桌面版Chrome、iOS、Safari等)不会受到影响。尽管如此,为避免不必要的后果,建议所有OpenSSL用户都应该进行升级。

关键字:OpenSSL中间人中间人攻击

本文摘自:比特网

x OpenSSL曝新漏洞可被用于“中间人”攻击 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

OpenSSL曝新漏洞可被用于“中间人”攻击

责任编辑:editor004 |来源:企业网D1Net  2014-06-09 13:52:56 本文摘自:比特网

本周,OpenSSL基金会发布警告称,一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动“中间人”攻击。

据了解,这个新发现的OpenSSL漏洞可被用于拦截经过加密的安全套接层(SSL)和安全传输层(TLS)通讯,发动“中间人攻击”。目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息,黑客可能利用新漏洞去拦截加密流量,对其进行解密,随后阅读流量中的内容。

这一安全漏洞由日本IT咨询公司Lepidum研究员Masashi Kikuchi发现,已经在周四发布的OpenSSL 0.9.8za、1.0.0m、1.0.1h版本中进行了修复。新版软件还修复了三个拒绝服务问题以及一处当OpenSSL库被用于数据安全传输层(DTLS)连接时出现的远程代码执行漏洞。

OpenSSL的用户被建议安装新的补丁,并升级至OpenSSL软件的最新版本。与能够导致服务器直接受到攻击的“心脏流血”漏洞不同,这一新漏洞要求黑客位于两台通信的计算机之间。例如,使用机场公开WiFi的用户可能成为被攻击目标。

值得关注的是,这一漏洞自1998年OpenSSL首次发布以来就一直存在。而“心脏流血”漏洞是在2011年新年OpenSSL进行升级时引入的。

这一漏洞在长达十几年的时间内一直没有被发现,这再次表明了OpenSSL管理的缺陷。OpenSSL是开源的,这意味着任何人都可以对其进行评估及更新。

此外,令人欣慰的消息是,这种攻击需要中间人,非OpenSSL客户端(IE、Firefox、桌面版Chrome、iOS、Safari等)不会受到影响。尽管如此,为避免不必要的后果,建议所有OpenSSL用户都应该进行升级。

关键字:OpenSSL中间人中间人攻击

本文摘自:比特网

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^