日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
OpenSSL修復(fù)潛伏16年“中間人”漏洞

北京時間6月5日晚間,OpenSSL團(tuán)隊發(fā)布了5個新的安全補(bǔ)丁,用于修復(fù)七處高危漏洞,其中編號為CVE-2014-0224的漏洞已潛伏16年,該漏洞可導(dǎo)致“中間人”截獲OpenSSL加密的網(wǎng)站登錄密碼、電子郵件、聊天記錄等重要數(shù)據(jù)。據(jù)360網(wǎng)絡(luò)攻防實(shí)驗室介紹,由于目前沒有公開的漏洞攻擊代碼,而且OpenSSL已及時發(fā)布補(bǔ)丁,這波漏洞的實(shí)際威脅會低于“心臟出血”。

創(chuàng)新互聯(lián)公司專注于企業(yè)全網(wǎng)整合營銷推廣、網(wǎng)站重做改版、晉州網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、H5頁面制作、商城系統(tǒng)網(wǎng)站開發(fā)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)營銷網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù),價格優(yōu)惠性價比高,為晉州等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

OpenSSL官網(wǎng)公告顯示,本次OpenSSL團(tuán)隊發(fā)布的5個安全補(bǔ)丁主要修復(fù)CVE-2014-0224、CVE-2014-0221、CVE-2014-0195、CVE-2010-5298、CVE-2014-0198、CVE-2014-3470、CVE-2014-0076等七個漏洞,涉及多個OpenSSL版本。

其中,編號為CVE-2014-0195的OpenSSL漏洞可導(dǎo)致黑客遠(yuǎn)程執(zhí)行任意代碼,危害較大;編號為CVE-2014-0224漏洞則是潛伏16年的“中間人”漏洞。利用該漏洞,黑客可通過OpenSSL加密的流量發(fā)動“中間人”解密,直接竊聽流量中的內(nèi)容。不過,只有當(dāng)服務(wù)器和客戶端同時存在該漏洞、且正在互相通信時,黑客才可以解密竊聽流量中的內(nèi)容。

為了消除安全隱患,360提醒各大網(wǎng)站盡快升級相關(guān)OpenSSL版本。因為隨著補(bǔ)丁的發(fā)布,黑客攻擊者會研究補(bǔ)丁制作漏洞攻擊工具,那些沒有及時打補(bǔ)丁的網(wǎng)站將面臨風(fēng)險。

OpenSSL官網(wǎng)公告:http://www.openssl.org/news/

附:OpenSSL最新漏洞和修復(fù)信息

CVE-2014-0224:中間人欺騙(MITM)漏洞,影響客戶端(全版本)和服務(wù)端(1.0.1 and 1.0.2-beta1)。

建議:

OpenSSL 0.9.8 SSL/TLS users (client and/or server) 請更新到 0.9.8za.

OpenSSL 1.0.0 SSL/TLS users (client and/or server) 請更新到 1.0.0m.

OpenSSL 1.0.1 SSL/TLS users (client and/or server) 請更新到 1.0.1h.

CVE-2014-0221:拒絕服務(wù)漏洞,攻擊者可通過發(fā)送一個惡意的DTLS握手包,導(dǎo)致拒絕服務(wù)。

建議:

OpenSSL 0.9.8 DTLS用戶請更新到0.9.8za

OpenSSL 1.0.0 DTLS用戶請更新到1.0.0m.

OpenSSL 1.0.1 DTLS用戶請更新到1.0.1h.

CVE-2014-0195:任意代碼執(zhí)行漏洞,攻擊者可發(fā)送一個惡意的DTLS fragmetns到OpenSSL DTLS客戶端或服務(wù)端,將能夠在存在漏洞的客戶端或服務(wù)端引起任意代碼執(zhí)行。

建議:

OpenSSL 0.9.8 DTLS 用戶請更新到 0.9.8za

OpenSSL 1.0.0 DTLS 用戶請更新到 1.0.0m.

OpenSSL 1.0.1 DTLS 用戶請更新到 1.0.1h.

CVE-2014-0198:拒絕服務(wù)漏洞,do_ssl3_write()函數(shù)允許遠(yuǎn)程用戶通過一個空指針引用,這個漏洞僅僅影響OpenSSL 1.0.0和1.0.1當(dāng)SSL_MODE_RELEASE_BUFFERS開啟的環(huán)境(非默認(rèn)選項)。

建議:

OpenSSL 1.0.0 用戶請更新到 1.0.0m.

OpenSSL 1.0.1 用戶請更新到 1.0.1h.

CVE-2010-5298:會話注入&拒絕服務(wù)漏洞,攻擊者利用ssl3_read_bytes 函數(shù)的競爭機(jī)制可以在會話之間注入數(shù)據(jù)或者使服務(wù)端拒絕服務(wù)。

此漏洞僅影響使用OpenSSL1.0.0多線程應(yīng)用程序和1.0.1,其中SSL_MODE_RELEASE_BUFFERS被啟用(不常見,并非默認(rèn)設(shè)置)。

CVE-2014-3470:拒絕服務(wù)漏洞,當(dāng)OpenSSL TLS客戶端啟用匿名ECDH密碼套件可能導(dǎo)致拒絕服務(wù)攻擊。

建議:

OpenSSL 0.9.8 用戶請更新到 0.9.8za

OpenSSL 1.0.0 用戶請更新到 1.0.0m.

OpenSSL 1.0.1 用戶請更新到 1.0.1h.

CVE-2014-0076:OpenSSL ECDSA 加密問題漏洞,OpenSSL 1.0.0l及之前版本中的Montgomery ladder實(shí)現(xiàn)過程中存在安全漏洞,該漏洞源于Elliptic Curve Digital Signature Algorithm (ECDSA)中存在錯誤。遠(yuǎn)程攻擊者可通過FLUSH+RELOAD Cache旁道攻擊利用該漏洞獲取ECDSA隨機(jī)數(shù)值。

建議:

OpenSSL 1.0.0m and OpenSSL 0.9.8za 用戶請更新到 OpenSSL 1.0.1g.


網(wǎng)頁題目:OpenSSL修復(fù)潛伏16年“中間人”漏洞
標(biāo)題來源:http://www.5511xx.com/article/dphdjjj.html