新的OpenSSL分支未包含Heartbleed漏洞,但需要认真看待
摘要:当被最新的OpenSSL安全问题困扰时,你最好解决它,虽然它并不像Heartbleed那样糟糕。
这一周对于开源的Secure Socket Layer (SSL)来说真是糟糕的一周。
首先,GnuTLS低调的宣称,存在一个不大但确实存在的缺陷。然后,大范围流行的OpenSSL被发现包含一个中间人漏洞。在Heartbleed漏洞惨剧后,OpenSSL该醒醒了。
这个漏洞,根据谷歌高级软件工程师Adam Langley描述,已经至少存在了15年时间。可惜Core Infrastructure Initiative(CII)提供了让更多的程序员来拯救OpenSSL的资金,却尚未来得及发挥作用。
也就是说这个漏洞依然是和Heartbleed漏洞一样糟糕。对于一些新手,攻击者需要在系统和浏览器或其它启用了SSL的客户端之间来利用这个安全漏洞。
尽管它只是可能被利用,你依然需要尽可能快的通过升级来解决这个漏洞。就像NTT Com Security的评估服务负责人Chris Camejo在邮件采访里说的,“这很糟糕,因为已经存在了这么长的时间,看起来传播范围相当广泛。”
他补充到:“如果利用它,攻击者可以解密流量。从SSL的设计目的看,这是一个很严重的问题。SSL被广泛地用来在网站和邮件中保护很多的密码,信用卡卡号和其他的敏感信息。”
在另外一个采访中,Red Hat的产品安全高级负责人Mark Cox详细深入地介绍了细节。Cox说,OpenSSL已修正了一些安全缺陷,但是我们需要想办法告诉人们不要因为Heartbleed而陷入恐慌。
Cox解释说,Heartbleed漏洞在公布之前得到了修补,但利用此漏洞的消息在修补程序之前传开,因此在这个问题上招致了许多抱怨。最新的情况,已有七个安全问题得到了修补,但其中只有两项需要管理员和用户的关注。
Cox继续说道,第一个,是数据报传输层安全 (DTLS)的bug。到目前为止,还没有已知的攻击,但是存在针对它攻击成功的潜在性。
因此,虽然DTLS使用不广泛,如果您确实在使用它,它应尽快修补。
Cox然后说,“这个问题的实际上是中间人攻击”。实际上,真的要有个“在中间的”人,来利用易受攻击的服务器和客户端之间的漏洞。
但如果有人真的这样做到了,他们就能“绕过SSL并拿到原始数据...这是一个相当严重的问题”。
但是,如同从理论上讲任何人都可以利用Heartbleed漏洞来攻击SSL服务器。攻击并利用此漏洞需要能接触到客户端和服务器之间的通信网络。例如,成功的攻击可能需要架设一个假的公开Wi-Fi接入点,才能攻击到使用这个WIFI的Android版本的Chrome网络浏览器与未安装修补程序的Web服务器之间的SSL通讯。幸运的是,谷歌已经发布了更新的版本的浏览器,35.0.1916.141,以消除此问题。
Cox继续说,最易受攻击的系统是未安装修补程序的Android设备使用一个假的Wi-Fi接入点。Morrell补充说因为Android用户并没有被他们的手机供应商和电信公司重视,安全漏洞更新前他们可能会受漏洞影响相当长的时间。
幸运的是,如果他们用连接的服务器已经更新,他们也不会受到攻击。
OpenSSL安全社区自5月初以来已经知道这个问题。社区与Red Hat、其他主要Linux和开源社团和硬件供应商,要解决这个问题,不只是简单修补bug,而且要测试修复,以便他们可以确认漏洞已经修复,大家都已经安全了,而没有引入任何新的安全问题,并可在大多数 OpenSSL服务器和客户端的组合上工作。
现在,这个补丁已经有了,OpenSSL试着通过补丁解决安全缺陷,向公众表明对这些问题不必有任何不必要的恐慌。Cox补充说,主要的Linux供应商,如Red Hat和Ubuntu,已经有可用的修补程序。
所有的管理员都需要给服务器下载并安装补丁,而不是放任安全漏洞。
via: http://www.zdnet.com/new-openssl-breech-is-no-heartbleed-but-needs-to-be-taken-seriously-7000030273/