OpenSSL v1.0.1到1.0.1f中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。攻击者可以利用该bug窃听通信,直接从服务和用户窃取数据。 OpenSSL已经发布了1.0.1g修正bug,Debian发行版也在半小时修复了bug,Fedora发布了一个权宜的修正方案。该bug是在2011年引入到OpenSSL中,使用OpenSSL 0.9.8的发行版不受影响。受到影响的操作系统如下: Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4 Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubun
2014-04-08 12:36
摘要:当被最新的OpenSSL安全问题困扰时,你最好解决它,虽然它并不像Heartbleed那样糟糕。 这一周对于开源的Secure Socket Layer (SSL)来说真是糟糕的一周。 首先,GnuTLS低调的宣称,存在一个不大但确实存在的缺陷。然后,大范围流行的OpenSSL被发现包含一个中间人漏洞。在Heartbleed漏洞惨剧后,OpenSSL该醒醒了。 这个漏洞,根据谷歌高级软件工程师Adam Langley描述,已经至少存在了15年时间。可惜Core Infrastructure Initiative(CII)提供了让更多的程序员来拯救OpenSSL的资金,却尚未来得及发挥作用。 也就是说这个漏洞依然是和
2014-06-09 09:28 stduolc
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。
标签: