OpenSSL新漏洞曝光:可被用于“中间人”攻击

2014-06-08 宇易网络 1629

北京时间6月6日消息,据科技网站PCWorld报道,一个新发现的OpenSSL漏洞可被用于拦截经过加密的安全套接层(SSL)和安全传输层(TLS)通讯,发动“中间人攻击”。目前该漏洞已经被确认并修复。

该漏洞的追踪标号为CVE-2014-0224。如果服务器OpenSSL库版本号为1.0.1或者更新,那么该漏洞可被用于解密和修改客户端与服务器之间的SSL和TLS流量。

为了完成一次成功的攻击,攻击者首先需要拦截目标客户端和服务器之间的连接。这就需要攻击者处于“中间人”位置,通过侵入路由器或者使用其它方法进入不安全的无线网络。

这一安全漏洞由日本IT咨询公司Lepidum研究员Masashi Kikuchi发现,已经在周四发布的OpenSSL 0.9.8za、 1.0.0m、1.0.1h版本中进行了修复。新版软件还修复了三个拒绝服务问题以及一处当OpenSSL库被用于数据安全传输层(DTLS)连接时出现 的远程代码执行漏洞。

Kikuchi称,由于OpenSSL能够在TLS握手时不合理地接收更改密钥规格协议(CCS)信息,所以中间人攻击是可能实现的。这些信息标记 了未加密流量到加密流量发生的改变,必须在TLS握手期间的具体时间发送出去,但是OpenSSL也能在其它时间段接收到CCS信息。

谷歌高级软件工程师亚当·拉吉里(Adam Langley)在其个人博客的分析报告中称,这一漏洞至少在OpenSSL 0.9.1c版本时就已经存在。该版本在1998年12月发布,也就是说这一漏洞已经至少存在15年了。

OpenSSL开发者在周四发布的安全报告中称,使用OpenSSL的客户端不管使用何种版本,都易遭到攻击,但是服务器只有在运行 OpenSSL 1.0.1x、1.0.2-beta1时易于遭到攻击。安全厂商Qualys的SSL实验室负责人伊万·里斯迪克 ( Ivan Ristic)称,OpenSSL 1.0.1发布于2012年3月,目前大约有24%的SSL服务器使用这一版本。

“好消息是,这种攻击需要中间人,非OpenSSL客户端(IE、Firefox、桌面版Chrome、iOS、Safari等)不会受到影响。尽管如此,所有OpenSSL用户都应该进行升级。”拉吉里称。

相关文章

展开
联系电话:0523-82182818 客服QQ:1098369