首页 »港澳»正文

OpenSSL再曝高危漏洞 百度提醒用户尽快升级补丁

2017-11-25     0  69 views人围观

7月9日,OpenSSL官方发布了1.0.2d 和 1.0.1p两个主线版本的更新,修复了1个 “高危”级别的安全漏洞(CVE-2015-1793)。该漏洞可能导致使用OpenSSL的客户端程序在与服务端建立加密连接过程中其证书校验措施被绕过。百度安全提醒用户及时升级到最新的官方版本。

OpenSSL官方对于这一漏洞的描述为:OpenSSL(1.0.1n和1.0.2b以上版本)在证书链验证过程中,如果首次证书链校验失败,则会尝试使用一个其他的证书链来重新尝试进行校验;其实现中存在一个逻辑错误,导致对于非可信证书的一些检查被绕过,这直接的后果导致比如使没有CA签发能力的证书被误判为具有CA签发能力,其进行签发的证书可以通过证书链校验等。

百度安全专家表示,根据OpenSSL官网描述可以看出,该漏洞可能导致证书校验环节被绕过:当客户端向服务器端发起验证时,攻击者可以仿冒服务器,对用户进行钓鱼攻击,或者充当反向代理截取用户敏感信息等;在某些需要服务端同时对客户端进行反向校验的应用场景,如:网银支付证书校验、企业VPN登录、无线Wifi接入等,可能会导致攻击者成功的仿冒特定用户,获取访问相应机密信息的权限。因此百度安全建议相关行业应用及启用反向验证的服务商对该漏洞给予高度重视,及时升级到官方最新版本。

同时,从官网信息可以看到,此次修复的openssl高危漏洞,是今年以来openssl官方修复的第26个漏洞。OpenSSL去年曝出的“心脏滴血”漏洞震惊整个信息安全界,今年又接连曝出数个漏洞。开源软件的安全性实在是让人感到不安。

 

分享您的感悟...

姓名:       验证码: 862