微软披露了一个影响所有Windows版本的高危漏洞,Windows用户尤其是运行网站的用户需要立即安装微软周二释出的补丁。漏洞存在于微软的TLS库中,允许攻击者向Windows服务器发送恶意流量远程执行代码。 微软TLS漏洞的公开意味着所有主要TLS堆栈包括苹果的SecureTransport、GNUTLS、OpenSSL、NSS和微软Secure Channel(Schannel)都在今年发现了高危漏洞。 安全研究人员称,如果用户安装和运行监视端口接受加密连接的软件,那么机器就可能存在弱点。举例来说,Windows 7用户安装了接受外部连接的FTP服务器就可能面临风险。
2014-11-12 20:38
在5月20日召开的《锤子手机发布会》上,老罗宣布将会把100万元门票收入捐赠给OPENSSL,以便激起其它吝啬的巨头们的羞愧感。而现在,我们发现OpenSSL已经对其官网上的赞助商页面进行了更新,锤子科技(Smartisan)与华为(HuaWei)、诺基亚均上榜,成为了它的白金赞助商(Platinum Sponsors)。 当然,除了上述三家白金赞助商,GlobalSign和Qualys Continuous Security两家公司也为之提供了重点扶持(Major Support)。 此外,Open Gear为其提供了非常重要的支持(Very significant support);而PSW Group、Milton Security Group、以及Acano三家则
2014-05-30 14:40
OpenBSD基金会宣布发布LibreSSL Portable的第一个版本。LibreSSL是 OpenBSD创建的OpenSSL分支,始于今年4月OpenSSL的Heartbleed高危漏洞公开之后,而LibreSSL Portable则是设计运行在非OpenBSD操作系统上的版本。OpenBSD开发者表示,这个版本可供社区使用和提供反馈。 LibreSSL的版本号是2.0.0,已在Linux、Solaris、Mac OS X和FreeBSD上测试运行。有人对比测试了LibreSSL和OpenSSL的速度,显示LibreSSL在较小(256)的块大小上有优势,而OpenSSL在较大的块大小上有优势。
2014-07-13 10:38
OpenBSD子项目OpenSSH的开发者宣布OpenSSH的编译可以选择不再链接OpenSSL加密库:在make命令后使用 OPENSSL=no 选项即可。 OpenSSH是SSH协议的开源替代,默默无名的OpenSSL开源加密库最近因为heartbleed漏洞几乎变得无人不知,漏洞的影响遍及整个互联网。 OpenBSD的开发者为此而创建了OpenSSL的分支LibreSSL,开发者透露未来用户编译时可选择链接到LibreSSL库。 via:http://www.solidot.org/story?sid=39378
2014-05-03 23:32
Linux基金会宣布了Core Infrastructure Initiative(CII)首批资助的开源基础设施项目:Network Time Protocol、OpenSSH和OpenSSL。 这些缺乏资金的重要开源项目是由CII指导委员会和顾问委员会挑选出来的,指导委员会包括了提供资金的科技企业和利益攸关者,顾问委员会包括了Alan Cox、Matt Green教授、Dan Meredith、Eben Moglen、Bruce Schneier、Ted Tso等知名的内核开发者、安全和法律专家。 CII提供的资金将资助开源项目雇佣全职开发者、进行安全审计等。这笔资助可以让OpenSSL项目雇佣两名全职开发者。 via :http://www.solidot.or
2014-05-31 14:11
摘要:当被最新的OpenSSL安全问题困扰时,你最好解决它,虽然它并不像Heartbleed那样糟糕。 这一周对于开源的Secure Socket Layer (SSL)来说真是糟糕的一周。 首先,GnuTLS低调的宣称,存在一个不大但确实存在的缺陷。然后,大范围流行的OpenSSL被发现包含一个中间人漏洞。在Heartbleed漏洞惨剧后,OpenSSL该醒醒了。 这个漏洞,根据谷歌高级软件工程师Adam Langley描述,已经至少存在了15年时间。可惜Core Infrastructure Initiative(CII)提供了让更多的程序员来拯救OpenSSL的资金,却尚未来得及发挥作用。 也就是说这个漏洞依然是和
2014-06-09 09:28 stduolc
2个多月前,整个互联网都被Heartbleed这个OpenSSL软件的安全漏洞所震惊。事后,尽管大多数公司都已经更新了其服务器软件,但不幸的是,还有不少人很快地就将这件事给遗忘掉了。据来自Errata Security的一份新报告称:仍有超过30万台服务器在运行着过时的、未打补丁的OpenSSL版本。也就是说,这些服务器直接向恶意攻击者敞开了大门。 人总是健忘的(包括给OpenSSL打Heartbleed补丁这件事)。 通过扫描服务器最常用的端口之一(443),Errata可得到服务器的反馈并获知其所使用的OpenSSL版本,而恶意攻击者也可对那些存有Heartbleed漏洞的服务
2014-06-23 10:29
本周四,OpenSSL基金会发布警告称,一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动中间人攻击。信息安全专家目前仍试图解决OpenSSL加密协议中的心脏流血漏洞。根据AVG Virus Labs的数据,目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息,黑客可能利用新漏洞去拦截加密流量,对其进行解密,随后阅读流量中的内容。 OpenSSL新漏洞曝光:可被用于中间人攻击 OpenSSL的用户被建议安装新的补丁,并升级至OpenSSL软件的最新版本。这一漏洞的发现者是软件公司Lepidum的日本研究员Masashi Kikuchi。L
2014-06-06 16:26
自被全世界服务器广泛使用的OpenSSL开源项目爆出心血漏洞以来,该项目组日益受到关注。现在该项目组正计划一步一步地改进其安全组件,确保互联网安全。现在团队在其网站上公布了OpenSSL的路线图,旨在回应那些指责团队反应缓慢并孤立的观点。 根据路线图显示,目前该团队正着手改进目前的问题,包括缺乏代码的审查,编码风格不一致,说明文档缺失以及没有平台策略没有常规更新周期等。未来,团队还将通过其错误追踪系统来检查大量的曾经为审查过的问题。项目组的LibreSSL分支修正过大量错误并重写了部分OpenSSL代码。谷歌也宣布其正在开
2014-07-03 13:50
心脏出血漏洞曝光以来,Linux基金会首次宣布将资助OpenSSL代码的安全审计,并支付两位全职程序员的工资。 OpenSSL加密软件为全球科技企业广泛使用,但其核心代码库的维护资金却少得可怜,为此LInux基金会创建了核心基础设施计划(CII),用以提升OpenSSL等开源项目的安全水平。 本周四,Linux基金会宣布CII的首笔资金将投给OpenSSL、OpenSSH和NTP(网络时间协议),同时宣布华为、Adobe、Bloomberg、惠普和Salesforce.com成为CII的新会员。 据悉,投给OpenSSL的资金将包括两位全职程序员的工资支出,此外开放加密审计项目(OCAP)也将获得
2014-05-30 15:00
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。