openssl漏洞補(bǔ)丁下載(openssh修復(fù))

發(fā)布時(shí)間：2024-01-02

本文主要介紹openssl漏洞補(bǔ)丁下載(openssh修復(fù))，下面一起看看openssl漏洞補(bǔ)丁下載(openssh修復(fù))相關(guān)資訊。
arstechnica報(bào)道稱(chēng)，openssl是一個(gè)被許多網(wǎng)站和加密電子郵件服務(wù)提供商廣泛采用的軟件庫(kù)，但不久前，它暴露了一個(gè)高危安全漏洞，可能導(dǎo)致服務(wù)器受到攻擊并崩潰。據(jù)悉，openssl提供了經(jīng)過(guò)驗(yàn)證的加密功能，并實(shí)現(xiàn)了基于tls的安全傳輸協(xié)議。作為ssl安全套接字層的后續(xù)協(xié)議，它用于加密互聯(lián)網(wǎng)服務(wù)器和最終用戶(hù)客戶(hù)端之間的數(shù)據(jù)流。
tls應(yīng)用程序的開(kāi)發(fā)人員可以使用openssl來(lái)節(jié)省重復(fù)工作，避免專(zhuān)家不推薦的常見(jiàn)缺點(diǎn)。
當(dāng)2014年黑客開(kāi)始利用開(kāi)源代碼庫(kù)中的一個(gè)嚴(yán)重漏洞時(shí)，openssl在互聯(lián)網(wǎng)安全領(lǐng)域的關(guān)鍵作用得到了充分體現(xiàn)。
據(jù)悉，黑客可以利用這些漏洞從世界各地的服務(wù)器上加密密鑰等敏感的客戶(hù)信息。 心臟出血 漏洞只用幾行代碼就顛覆了銀行、新聞網(wǎng)站、律師事務(wù)所等大量組織。
周四，openssl維護(hù)團(tuán)隊(duì)透露，他們已經(jīng)修復(fù)了一個(gè)嚴(yán)重的安全漏洞。此前，受cve20213449漏洞的影響，受影響的服務(wù)器在收到未經(jīng)驗(yàn)證的最終用戶(hù)的惡意請(qǐng)求時(shí)可能會(huì)崩潰。
密碼學(xué)工程師菲利普·瓦爾索達(dá)(filippo valsorda)在推特上表示，該問(wèn)題影響了互聯(lián)網(wǎng)上的大多數(shù)openssl服務(wù)器。
并且黑客僅通過(guò)使用握手期間發(fā)送給服務(wù)器的惡意請(qǐng)求(重新協(xié)商)就可以在最終用戶(hù)和服務(wù)器之間建立安全連接。
維護(hù)者在一個(gè)通知(portal)中寫(xiě)道:如果從客戶(hù)端發(fā)送惡意重新協(xié)商的clienthello消息，openssl服務(wù)器可能會(huì)崩潰。
如果clienthello中的原tls v1.2重新協(xié)商省略了簽名算法擴(kuò)展但包含了signature_algorithms _ cert證書(shū)擴(kuò)展，則會(huì)導(dǎo)致空指針取消引用，從而導(dǎo)致崩潰和拒絕服務(wù)(dos)攻擊。
對(duì)于這個(gè)openssl高危漏洞，研究人員早在3月17日就進(jìn)行了報(bào)告。幸運(yùn)的是，在諾基亞開(kāi)發(fā)者peter k? stle和samuel sapalski的幫助下，openssl現(xiàn)在已經(jīng)正式屏蔽了這個(gè)漏洞。
此外，openssl還修復(fù)了一個(gè)cve20213450漏洞，該漏洞可能在極端情況下出現(xiàn)，以阻止應(yīng)用程序檢測(cè)，以及。拒絕不是由瀏覽器信任的證書(shū)頒發(fā)機(jī)構(gòu)簽名的tls證書(shū)。
需要指出的是，openssl 1.1.1h及以后的版本容易受到相關(guān)漏洞攻擊，openssl 1.0.2不在其中，但建議您盡快升級(jí)到最新的openssl 1.1.1k版本。
了解更多openssl漏洞補(bǔ)丁下載(openssh修復(fù))相關(guān)內(nèi)容請(qǐng)關(guān)注本站點(diǎn)。