彩象彩票app

Op彩象彩票appenSSL查找并修复了7个新的安全漏洞

更新:2019-09-02 编辑:彩象彩票app 来源:哈尔滨新闻网 热度:3764℃

今天上午开源OpenSSL项目发布了一系列更新,为新漏洞提供了七个安全修复程序。OpenSSL的安全更新是最大的,因为该项目发现自己在4月份Heartbleed安全风暴的中心,当时该组只修复了一个漏洞。

OpenSSL是一个广泛使用的开源加密库,为服务器和最终用户设备提供安全套接字层加密功能。

互联网风暴中心(ISCSANS)将两个新修补的漏洞列为关键漏洞。其中一个被确定为CVE-2014-0224,是一个SSL中间人(MITM)漏洞,可能会产生广泛的关键影响。在MITM攻击中,攻击者能够拦截在安全端点之间发送的加密消息并解密消息。

“使用精心设计的握手的攻击者可以强制在OpenSSLSSL/TLS中使用弱密钥材料[安全套接字层/传输层安全]客户端和服务器,“OpenSSL在其咨询中警告。“这可以通过中间人攻击来利用,攻击者可以解密并修改来自受攻击客户端和服务器的流量。”

进一步阅读Brinqa如何为网络风险带来可行的洞察......Splunk与LogRhythm:SIEMHead-to-Head

OpenSSL项目提醒所有OpenSSL客户端版本都容易受到CVE-2014-0224的攻击。OpenSSL顾问指出,CVE-2014-0224已于5月1日向OpenSSL项目报告。

另一个被评为关键的OpenSSL更新是针对标识为CVE-2014-0195的缺陷并且是数据报传输层安全(DTLS)无效片段漏洞已于4月23日报告给项目。

“可以通过向OpenSSLDTLS客户端或服务器发送无效的DTLS片段来触发缓冲区溢出攻击,”OpenSSL建议警告。“这可能会在易受攻击的客户端或服务器上运行任意代码。”

DTLS也是CVE-2014-0221漏洞的核心,这是ISCSANS评级的DTLS递归漏洞关键。

“通过向OpenSSLDTLS客户端发送无效的DTLS握手,可以使代码递归,最终在DoS攻击中崩溃,”OpenSSL咨询声明。

另外两个被评为重要的漏洞涉及OpenSSL中的SSL_MODE_RELEASE_BUFFERS功能。CVE-2014-0198是SSL_MODE_RELEASE_BUFFERS中的空指针解引用缺陷,可能导致拒绝服务条件。CVE-2010-5298缺陷是SSL_MODE_RELEASE_BUFFERS中的竞争条件,可能导致拒绝服务。

然而,OpenSSL咨询指出,对于这两个问题,缺陷只会影响OpenSSL1.0。0和1.0.1,其中启用了SSL_MODE_RELEASE_BUFFERS,这不是默认值,也不常见。

OpenSSL还修补了CVE-2014-3470漏洞,这是一个匿名椭圆曲线DiffieHellman(ECDH)5月28日向OpenSSL项目报告的DoS问题。

此外,OpenSSL还为旧版OpenSSL1.0.0m和0.9.8za版本的用户提供了CVE-2014-0076漏洞补丁。/p>

与HeartbleedOpenSSL问题相比,4月7日首次公开报告并且在咨询发布后的一天或更长时间内仅由Linux供应商和其他人修补,新的OpenSSL问题已经有多个公共补丁可用。UbuntuLinux项目以及RedHat已经针对新的OpenSSL问题发布了公开更新。

SeanMichaelKerner是eWEEK和InternetNews.com的高级编辑。在Twitter@TechJournalist上关注他。

(责任编辑:彩象彩票app)

本文地址:http://www.lfgdm.com/dailijiameng/nongchanpindaili/201909/5261.html

上一篇:Verizon将于3月29日推出VCast移动应用商店

下一篇:没有了

相关文章