AS网站目录(www.adminso.com):OpenSSL再爆重大安全漏洞:潜伏16年 据美国《连线》杂志报道,今年4月爆出的“心脏出血”(Heartbleed)漏洞至今依然令整个互联网界心有余悸,可是如今OpenSSL安全协议又爆出另一项重大漏洞,据悉这项漏洞已经潜伏十六年之久。 OpenSSL基金会近期发布一项建议性警告,希望用户再次对所使用的SSL安全协议进行升级,以修复一项此前从未发现的漏洞
AS网站目录(www.adminso.com):OpenSSL再爆重大安全漏洞:潜伏16年
据美国《连线》杂志报道,今年4月爆出的“心脏出血”(Heartbleed)漏洞至今依然令整个互联网界心有余悸,可是如今OpenSSL安全协议又爆出另一项重大漏洞,据悉这项漏洞已经潜伏十六年之久。
OpenSSL基金会近期发布一项建议性警告,希望用户再次对所使用的SSL安全协议进行升级,以修复一项此前从未发现的漏洞。据悉,该漏洞已经存在了十六年,能够允许任何黑客破解加密层窃取数据。由于OpenSSL安全协议在全球广泛使用,因此该基金会发现漏洞之后随即发布补丁,以便各大网站立即升级。
这一漏洞由日本研究人员菊池志(Masashi Kikuchi)发现,通过迫使电脑和服务器使用强度更低的密钥,使得位于两者之间的“中间人”得以进行解密并读取数据。
据菊池志的雇主,软件公司Lepidum发布的一份常见问题文本显示,该缺陷允许恶意中间节点截取被加密的数据,并通过迫使SSL协议客户端使用直接暴露的低强度密钥,从而对其进行解密。业内人士对此解释道,这就好比两个人在建立安全连接,这时有攻击者插入一条命令,让两人误以为他们使用的仍然是“私人”密码,而实际上这一密码已经为攻击者所知。
本次漏洞与Heartbleed并不相同,后者允许任何人直接攻击任何使用OpenSSL协议的服务器,而使用本次漏洞的黑客则必须位于两台联系的计算机之间。尽管如此,该漏洞还是存在巨大的隐患。比如用户在使用公共网络时,就很容易受到攻击。
此外,本次漏洞还有另一大局限性,即只有连接的两端都使用OpenSSL协议时,才可利用本漏洞进行数据破解。专家称,大部分浏览器都使用其他SSL协议,所以并不会受到影响。不过,安卓设备以及许多VPN(虚拟专用网)使用的正是OpenSSL协议,尤其是后者,由于常常涉及敏感数据,因此很容易成为被攻击的目标。
本次漏洞发现者菊池志的博文称,早在1998年,OpenSSL开发之初,该漏洞就一直存在。菊池志指出,尽管OpenSSL协议被广为使用,前不久的Heartbleed事件也引发人们对该协议安全性进行关注,但是OpenSSL代码受到专业安全研究人员的检测和维护程度还是远远不够。如果能够得到TLS/SSL领域专家的维护,这些漏洞可能早就被发现并修补。
有专家指出,在美国国家安全局前雇员斯诺登爆出“棱镜门”事件一周年纪念日之际发现隐藏十几年的安全漏洞,对于安全领域是一个颇具讽刺意味的严酷教训。像OpenSSL这样历史悠久、使用范围广泛的安全协议可能仍然存在最基本的缺陷和漏洞,而仅有少数工程师利用不足的资源对这些协议进行维护,这对于整个互联网界都是一种羞辱。
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!