联系我们
  • 联系人: 侯女士?

    电 话: 025-58630787?

    邮 箱: [email protected]?

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层


OpenSSL再爆重大安全漏洞 潜伏时间长达十六年
2014-6-10
来源:www.chinais.net
点击数: 7190          作者:江苏天网
  •         今年4月爆出的“心脏出血”(Heartbleed)漏洞至今依然令整个互联网界心有余悸,可是如今OpenSSL安全协议又爆出另一项重大漏洞,据悉这项漏洞已经潜伏十六年之久。

      OpenSSL基金会近期发布一项建议性警告,希望用户再次对所使用的SSL安全协议进行升级,以修复一项此前从未发现的漏洞。据悉,该漏洞已经存在了十六年,能够允许任何黑客破解加密层窃取数据。由于OpenSSL安全协议在全球广泛使用,因此该基金会发现漏洞之后随机发布补丁,以便各大网站立即升级。

    \

    资料图

      这一漏洞由日本研究人员菊池志(Masashi Kikuchi)发现,通过迫使电脑和服务器使用强度更低的密钥,使得位于两者之间的“中间人”得以进行解密并读取数据。

      据菊池志的雇主,软件公司Lepidum发布的一份常见问题文本显示,该缺陷允许恶意中间节点截取被加密的数据,并通过迫使SSL协议客户端使用直接暴露的低强度密钥,从而对其进行解密。业内人士对此解释道,这就好比两个人在建立安全连接,这时有攻击者插入一条命令,让两人误以为他们使用的仍然是“私人”密码,而实际上这一密码已经为攻击者所知。

      本次漏洞与Heartbleed并不相同,后者允许任何人直接攻击任何使用OpenSSL协议的服务器,而使用本次漏洞的黑客则必须位于两台联系的计算机之间。尽管如此,该漏洞还是存在巨大的隐患。比如用户在使用公共网络时,就很容易受到攻击。

      此外,本次漏洞还有另一大局限性,即只有连接的两端都使用OpenSSL协议时,才可利用本漏洞进行数据破解。专家称,大部分浏览器都使用其他SSL协议,所以并不会受到影响。不过,安卓设备以及许多VPN(虚拟专用网)使用的正是OpenSSL协议,尤其是后者,由于常常涉及敏感数据,因此很容易成为被攻击的目标。

      本次漏洞发现者菊池志的博文称,早在1998年,OpenSSL开发之初,该漏洞就一直存在。菊池志指出,尽管OpenSSL协议被广为使用,前不久的Heartbleed事件也引发人们对该协议安全性进行关注,但是OpenSSL代码受到专业安全研究人员的检测和维护程度还是远远不够。如果能够得到TLS/SSL领域专家的维护,这些漏洞可能早就被发现并修补。

      有专家指出,在美国国家安全局前雇员斯诺登爆出“棱镜门”事件一周年纪念日之际发现隐藏十几年的安全漏洞,对于安全领域是一个颇具讽刺意味的严酷教训。像OpenSSL这样历史悠久、使用范围广泛的安全协议可能仍然存在最基本的缺陷和漏洞,而仅有少数工程师利用不足的资源对这些协议进行维护,这对于整个互联网界都是一种羞辱。

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号

玄机二句是2019