严重的OpenSSL漏洞允许黑客模拟任何受信任的SSL证书
相关标签: # rust# 漏洞# 攻击# 安全漏洞# 工具
OpenSSL基金会在OpenSSL版本1.0.1N和1.0.2b中发布了针对高严重性漏洞的承诺补丁,解决了密码协议实现中的伪造伪造问题。
该严重漏洞可能使中间人攻击者能够模拟受加密保护的网站、虚拟专用网络或电子邮件服务器,并窥探加密的互联网流量。
脆弱性(CVE-2015-1793),是因为证书验证过程中存在问题。其实现中的一个错误跳过了对新的、不受信任的证书的一些安全检查。
通过利用此漏洞,攻击者可以绕过证书警告,从而迫使应用程序将无效证书视为合法的证书颁发机构。
"此逻辑实现中的错误可能意味着攻击者可能会导致绕过对不受信任证书的某些检查,“OpenSSL的一条建议解释道例如CA标志,使他们能够使用有效的叶证书作为CA并“颁发”无效证书。"
此问题会影响使用客户端身份验证验证证书(包括传输层安全性(TLS)或安全套接字层(SSL)或DTLS客户端以及SSL/TLS/DTLS服务器)的任何最终用户应用程序。
这个安全问题是由谷歌自己版本的OpenSSL工具包Google BoringSSL的亚当·兰利和大卫·本杰明发现的。开发人员于6月24日向OpenSSL报告了该漏洞,然后提交了解决该问题的修复程序。
该安全漏洞会影响OpenSSL版本1.0.1n、1.0.2b、1.0.2c和1.0.1o。因此,我们建议OpenSSL版本1.0.2b/1.0.2c的用户将其系统升级到版本1.0.2d,建议OpenSSL版本1.0.1n/1.0.1o的用户升级到版本1.0.1p。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
