日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
OpenSSL再現(xiàn)六個新漏洞其中一個可能導致信息泄露

OpenSSL今日再度發(fā)布針對六項安全漏洞的修復方案——其中包括一個允許中間人(簡稱MITM)竊取加密連接的漏洞,外加一個可能允許攻擊者向存在風險的系統(tǒng)投放惡意軟件的漏洞。

創(chuàng)新互聯(lián)服務項目包括巴中網站建設、巴中網站制作、巴中網頁制作以及巴中網絡營銷策劃等。多年來,我們專注于互聯(lián)網行業(yè),利用自身積累的技術優(yōu)勢、行業(yè)經驗、深度合作伙伴關系等,向廣大中小型企業(yè)、政府機構等提供互聯(lián)網行業(yè)的解決方案,巴中網站推廣取得了明顯的社會效益與經濟效益。目前,我們服務的客戶以成都為中心已經輻射到巴中省份的部分城市,未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任!

一項DTLS無效片段漏洞(CVE-2014-0195,受影響的版本包括0.9.8、1.0.0以及1.0.1)可被用于向漏洞軟件所在的應用程序或者服務器注入惡意代碼。DTLS基本上屬于UDP(而非TCP)上的經典TLS加密機制,主要被用于保護視頻以及語音聊天等實時流媒體安全。

不過另一項SSL/TLS中間人漏洞(CVE-2014-0224,潛在影響到所有運行1.0.1以及1.0.2-beta1版本的客戶端及服務器)引發(fā)的后果可能更為嚴重,OpenSSL官方給出的咨詢解釋為:

攻擊者可以利用經過精心制作的握手活動強制使用OpenSSL SSL/TLS客戶端及服務器中的薄弱鍵入機制。這項漏洞可能會被中間人攻擊所利用,攻擊者可以借此對受攻擊的客戶端及服務器流量進行解密與修改。

這一攻擊活動只適用于存在漏洞的客戶端和服務器。OpenSSL全部版本的客戶端都存在這項安全漏洞。目前已知存在該漏洞的服務器端版本為OpenSSL 1.0.1與1.0.2-beta1。使用OpenSSL 1.0.1乃至更早版本的服務器用戶建議升級至新版本以預防此類安全問題的發(fā)生。

建議用戶和管理員檢查和更新他們的系統(tǒng),針對OpenSSL的補丁可用在例如主要發(fā)行版的Linux上。

此次曝光的CVE-2014-0224中間人漏洞自OpenSSL最初版本時起就已經存在,發(fā)現(xiàn)該漏洞的日本安全研究人員Masashi Kikuchi解釋稱。

“好消息是,此類攻擊活動(利用CVE-2014-0224)需要中間人定位來對受害者進行窺探,而且那些非OpenSSL客戶端(包括IE、火狐、桌面版本Chrome以及iOS與Safari等)都不會受到影響,”谷歌公司高級軟件工程師Adam Langley今天在自己的個人博客中指出。

“不過歸根結底,每一位OpenSSL用戶還是應該盡早更新。”

DTLS漏洞的存在同樣令安全專家們驚懼不已。“OpenSSL DTLS漏洞的出現(xiàn)可追溯至今年四月,但直到今天才被正式報道出來。它可能允許遠程代碼在客戶端與服務器上執(zhí)行(OpenSSL DTLS如今仍是一場安全噩夢),”計算機科學教授Matthew Green在一篇推文更新中指出。

“這項OpenSSL安全漏洞只是此類細化協(xié)議漏洞的一個典型代表,而LibreSSL不可能在fork中將其修復。”

這項建議發(fā)布自臭名昭著的Heartbleed安全漏洞被曝光的僅僅數周之后的周四。

Green教授預計,此次現(xiàn)身的這幾項漏洞在實際利用方面難度很高——這一點與可能導致密碼泄露的Heartbleed漏洞正好相反。

其它四項修復措施則已經能夠解決拒絕服務類型的漏洞。

安全漏洞管理企業(yè)Rapid7公司服務戰(zhàn)略副總裁Nicholas J. Percoco表示,目前有大量不同類型的服務器及其它互聯(lián)網接入系統(tǒng)需要進行更新,從而避免攻擊者利用這些已經存在修復方案的漏洞。

“新近曝光的這些OpenSSL中間人安全漏洞會影響到所有運行著OpenSSL的客戶端應用程序及設備,并在它們與存在漏洞的特定版本、包括最新版本服務器通信時引發(fā)問題,”Percoco解釋道。

“其中可能包括在今年四月初Heartbleed被披露后緊急完成過OpenSSL升級的大部分互聯(lián)網接入系統(tǒng)。中間人攻擊的危險系數很高,因為它可能允許攻擊者截獲客戶端(例如一位終端用戶)與服務器(例如網上銀行服務)之間本應受到嚴格加密的傳輸信息。

“這類攻擊在本質上是被動的,而且很可能不會被客戶端、服務器或者基于網絡的安全控制方案檢測到?!?/p>

Green教授同時補充稱,盡管有可能在短期內給系統(tǒng)管理員帶來額外的工作壓力與被迫加班,但深入挖掘OpenSSL中可能存在的更多安全漏洞仍然是一項很有意義的積極嘗試。

“OpenSSL安全漏洞在數量上的突然增長可以說在意料之中,而且并不是什么壞事。這就像是在春季大掃除中找到散落四處的垃圾一樣,”他指出。

備注

匿名網絡Tor的用戶們應當毫不遲疑地進行更新,因為這種中間人攻擊會對Tor客戶端及中繼體系造成影響。讀者朋友們甚至可能碰巧認識那位編寫出漏洞DTLS代碼的家伙,惠普ZDI團隊表示。


名稱欄目:OpenSSL再現(xiàn)六個新漏洞其中一個可能導致信息泄露
URL地址:http://m.5511xx.com/article/dhhiehd.html