OpenSSL漏洞一览
OpenSSL是对SSL和TLS协议的开源实现。这是一个技术的广泛使用,几乎每一个网站,Web会话进行加密,即使是在互联网上的网站的权力几乎有一半使用OpenSSL的Apache Web服务器。
OpenSSL的基金会表示他们将在本周四修复多个OpenSSL的安全漏洞在其广泛使用的开源软件,包括其中一个高危漏洞。
心脏出血漏洞(CVE-2014-0160)去年四月被发现在较早版本的OpenSSL,允许黑客读取用户的加密数据的敏感内容,如信用卡交易,甚至从互联网服务器或客户端软件盗取SSL密钥。
此外,同年6月份一个中间人攻击(MITM)漏洞(CVE-2014-0224)被发现并由OpenSSL项目组修复。不过没有心脏出血漏洞严重,但它足以解密,阅读或操纵加密的数据,特别是影响Android用户。
几个月后,另一个重要缺陷POODLE(Padding Oracle On Downgraded Legacy Encryption)漏洞,攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。
2015年3月3日,研究人员宣发现一个新的SSL / TLS漏洞叫FREAK攻击(CVE-2015-0204) 参见安全脉搏之前的《OpenSSL FREAK Attack漏洞(CVE-2015-0204)检测方法及修复建议》。它允许攻击者拦截脆弱的客户端和服务器之间的HTTPS连接,并迫使他们使用弱密码,攻击者可以破解窃取或操纵敏感数据。
还有另一个神秘高危漏洞(CVE-2015-0291)官方的解释是这样的:如果客户端连接到一个使用 OpenSSL 1.0.2 的服务器上,并使用无效的签名算法扩展进行再次协商,那么将会触发一个删除空指针的问题。利用这个问题可以造成DOS攻击。