|
嚴(yán)重的OpenSSL新發(fā)現(xiàn)的缺陷中間的攻擊成為可能。遠(yuǎn)程控制軟件,灰鴿子下載
1.jpg (14.06 KB, 下載次數(shù): 467)
下載附件
2014-6-6 09:22 上傳
研究人員發(fā)現(xiàn)新的缺陷流行的開源OpenSSL加密庫,至少其中兩個被認(rèn)為是嚴(yán)重的。
安全顧問OpenSSL描述缺陷:
“攻擊者使用一個精心準(zhǔn)備的握手可以強(qiáng)制使用OpenSSL SSL / TLS弱鍵控材料的客戶端和服務(wù)器。這可以利用一個中間人(這個)攻擊,攻擊者可以解密和修改客戶機(jī)和服務(wù)器的流量攻擊!
Masahi菊池的日本軟件公司Lepidum發(fā)現(xiàn)了錯誤,并表示OpenSSL首次發(fā)布以來就已經(jīng)存在了。
菊池認(rèn)為錯誤的原因還沒有被發(fā)現(xiàn)在過去的16年代碼審查不足,特別是專家與傳輸層安全性/安全套接字層(TLS / SSL)實現(xiàn)經(jīng)驗。
他也相信SSL協(xié)議3.0版規(guī)范文檔可以在如何實現(xiàn)ChangeCipherSpec清晰內(nèi)容類型,以便驗證特定條件下安全接受它之前在握手或連接客戶端和服務(wù)器之間的談判。灰鴿子使用教程
OpenSSL是用于數(shù)以百萬計的世界各地的服務(wù)器進(jìn)行身份驗證和安全通信。
的嚴(yán)重Heartbleed敞開系統(tǒng)檢測不到攻擊的安全漏洞,OpenSSL項目收到了資金和支持Linux基金會的核心基礎(chǔ)設(shè)施計劃,以加強(qiáng)安全審查。
另一個OpenSSL缺陷影響的處理數(shù)據(jù)報傳輸層安全性(DTLS)碎片意味著它可以發(fā)送一個專門制作的用戶數(shù)據(jù)報協(xié)議(UDP)數(shù)據(jù)包,導(dǎo)致應(yīng)用程序崩潰和拒絕服務(wù),惠普安全研究員Brian Gorenc寫道。
Gorenc說更嚴(yán)重的攻擊是可能的,并且理論上也可以注入惡意代碼,并可能執(zhí)行它的特權(quán)運(yùn)行的過程和使用OpenSSL。
問題中的代碼被羅賓Seggelman致力于OpenSSL,相同的人介紹了最近的大規(guī)模Heartbleed脆弱性,Gorenc筆記。
“當(dāng)然,Seggelmann并非完全責(zé)任。OpenSSL是一個開源項目。許多眼睛,看看這段代碼沒能抓住這個bug,但是新一代的人看這段代碼…特別是在Seggelmann的代碼。這段代碼現(xiàn)在已知的漏洞。在水中有血,”Gorenc說。灰鴿子遠(yuǎn)控
其他三個缺陷,可用于使用OpenSSL也拒絕服務(wù)攻擊應(yīng)用程序固定組最新的補(bǔ)丁。
OpenSSL建議軟件升級它的用戶根據(jù)以下指南:
OpenSSL 0.9.8用戶應(yīng)該升級到0.9.8za
OpenSSL 1.0.0用戶應(yīng)該升級到1.0.0m
OpenSSL 1.0.1用戶應(yīng)該升級到1.0.1h
谷歌,它使用OpenSSL在一些應(yīng)用程序中,已經(jīng)發(fā)布了新版本的Android Chrome網(wǎng)絡(luò)瀏覽器,并將使它可以在app store在接下來的幾天里玩。 |
|