网络安全 频道

OpenSSL曝新漏洞可被用“中间人”攻击

  本周,OpenSSL基金会发布警告称,一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动“中间人”攻击。

  据了解,这个新发现的OpenSSL漏洞可被用于拦截经过加密的安全套接层(SSL)和安全传输层(TLS)通讯,发动“中间人攻击”。目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息,黑客可能利用新漏洞去拦截加密流量,对其进行解密,随后阅读流量中的内容。

  这一安全漏洞由日本IT咨询公司Lepidum研究员Masashi Kikuchi发现,已经在周四发布的OpenSSL 0.9.8za、1.0.0m、1.0.1h版本中进行了修复。新版软件还修复了三个拒绝服务问题以及一处当OpenSSL库被用于数据安全传输层(DTLS)连接时出现的远程代码执行漏洞。

  OpenSSL的用户被建议安装新的补丁,并升级至OpenSSL软件的最新版本。与能够导致服务器直接受到攻击的“心脏流血”漏洞不同,这一新漏洞要求黑客位于两台通信的计算机之间。例如,使用机场公开WiFi的用户可能成为被攻击目标。

  值得关注的是,这一漏洞自1998年OpenSSL首次发布以来就一直存在。而“心脏流血”漏洞是在2011年新年OpenSSL进行升级时引入的。

  这一漏洞在长达十几年的时间内一直没有被发现,这再次表明了OpenSSL管理的缺陷。OpenSSL是开源的,这意味着任何人都可以对其进行评估及更新。

  此外,令人欣慰的消息是,这种攻击需要中间人,非OpenSSL客户端(IE、Firefox、桌面版Chrome、iOS、Safari等)不会受到影响。尽管如此,为避免不必要的后果,建议所有OpenSSL用户都应该进行升级。

0