OpenSSL 再爆严重安全漏洞 —— CCS 注入

OpenSSL 的 ChangeCipherSpec 处理再报严重安全漏洞,可用于中间人攻击、拒绝服务、甚至远程代码执行。Change Cipher Spec 漏洞的测试代码已经公开在网上。而 CVE-2014-0195 漏洞的报告者正是 Heartbleed 的发现人(日本程序员Masashi Kikuchi)。该漏洞使得攻击者可以拦截恶意中间节点加密和解密数据,同时迫使使用弱密钥的SSL客户端暴露在恶意节点。

当软件使用OpenSSL的受影响版本,通过网页浏览、电子邮件和VPN进行内容和身份验证等加密通讯时会有篡改的风险。

受影响的版本包括:

  • OpenSSL 1.0.1 through 1.0.1g

  • OpenSSL 1.0.0 through 1.0.0l

  • all versions before OpenSSL 0.9.8y

未影响版本:

  • OpenSSL 1.0.1h

  • OpenSSL 1.0.0m

  • OpenSSL 0.9.8za

关于该漏洞的详细说明请看这里


发表评论

(必填)

(必填)

(以便回访)