嚴重的OpenSSL新發(fā)現(xiàn)的缺陷中間的攻擊成為可能。遠程控制軟件,灰鴿子下載

admin

嚴重的OpenSSL新發(fā)現(xiàn)的缺陷中間的攻擊成為可能。遠程控制軟件,灰鴿子下載

研究人員發(fā)現(xiàn)新的缺陷流行的開源OpenSSL加密庫,至少其中兩個被認為是嚴重的。
安全顧問OpenSSL描述缺陷:
“攻擊者使用一個精心準備的握手可以強制使用OpenSSL SSL / TLS弱鍵控材料的客戶端和服務器。這可以利用一個中間人(這個)攻擊,攻擊者可以解密和修改客戶機和服務器的流量攻擊。”
Masahi菊池的日本軟件公司Lepidum發(fā)現(xiàn)了錯誤,并表示OpenSSL首次發(fā)布以來就已經(jīng)存在了。
菊池認為錯誤的原因還沒有被發(fā)現(xiàn)在過去的16年代碼審查不足,特別是專家與傳輸層安全性/安全套接字層(TLS / SSL)實現(xiàn)經(jīng)驗。
他也相信SSL協(xié)議3.0版規(guī)范文檔可以在如何實現(xiàn)ChangeCipherSpec清晰內(nèi)容類型,以便驗證特定條件下安全接受它之前在握手或連接客戶端和服務器之間的談判。灰鴿子使用教程
OpenSSL是用于數(shù)以百萬計的世界各地的服務器進行身份驗證和安全通信。
的嚴重Heartbleed敞開系統(tǒng)檢測不到攻擊的安全漏洞,OpenSSL項目收到了資金和支持Linux基金會的核心基礎設施計劃,以加強安全審查。
另一個OpenSSL缺陷影響的處理數(shù)據(jù)報傳輸層安全性(DTLS)碎片意味著它可以發(fā)送一個專門制作的用戶數(shù)據(jù)報協(xié)議(UDP)數(shù)據(jù)包,導致應用程序崩潰和拒絕服務,惠普安全研究員Brian Gorenc寫道。
Gorenc說更嚴重的攻擊是可能的,并且理論上也可以注入惡意代碼,并可能執(zhí)行它的特權運行的過程和使用OpenSSL。
問題中的代碼被羅賓Seggelman致力于OpenSSL,相同的人介紹了最近的大規(guī)模Heartbleed脆弱性,Gorenc筆記。
“當然,Seggelmann并非完全責任。OpenSSL是一個開源項目。許多眼睛,看看這段代碼沒能抓住這個bug,但是新一代的人看這段代碼…特別是在Seggelmann的代碼。這段代碼現(xiàn)在已知的漏洞。在水中有血,”Gorenc說。灰鴿子遠控
其他三個缺陷,可用于使用OpenSSL也拒絕服務攻擊應用程序固定組最新的補丁。
OpenSSL建議軟件升級它的用戶根據(jù)以下指南:
OpenSSL 0.9.8用戶應該升級到0.9.8za
OpenSSL 1.0.0用戶應該升級到1.0.0m
OpenSSL 1.0.1用戶應該升級到1.0.1h
谷歌,它使用OpenSSL在一些應用程序中,已經(jīng)發(fā)布了新版本的Android Chrome網(wǎng)絡瀏覽器,并將使它可以在app store在接下來的幾天里玩。

我知道

這里應該加入點電視節(jié)目。