openssl漏洞補丁下載(openssh修復(fù))

發(fā)布時間：2024-01-02

本文主要介紹openssl漏洞補丁下載(openssh修復(fù))，下面一起看看openssl漏洞補丁下載(openssh修復(fù))相關(guān)資訊。
arstechnica報道稱，openssl是一個被許多網(wǎng)站和加密電子郵件服務(wù)提供商廣泛采用的軟件庫，但不久前，它暴露了一個高危安全漏洞，可能導(dǎo)致服務(wù)器受到攻擊并崩潰。據(jù)悉，openssl提供了經(jīng)過驗證的加密功能，并實現(xiàn)了基于tls的安全傳輸協(xié)議。作為ssl安全套接字層的后續(xù)協(xié)議，它用于加密互聯(lián)網(wǎng)服務(wù)器和最終用戶客戶端之間的數(shù)據(jù)流。
tls應(yīng)用程序的開發(fā)人員可以使用openssl來節(jié)省重復(fù)工作，避免專家不推薦的常見缺點。
當2014年黑客開始利用開源代碼庫中的一個嚴重漏洞時，openssl在互聯(lián)網(wǎng)安全領(lǐng)域的關(guān)鍵作用得到了充分體現(xiàn)。
據(jù)悉，黑客可以利用這些漏洞從世界各地的服務(wù)器上加密密鑰等敏感的客戶信息。 心臟出血 漏洞只用幾行代碼就顛覆了銀行、新聞網(wǎng)站、律師事務(wù)所等大量組織。
周四，openssl維護團隊透露，他們已經(jīng)修復(fù)了一個嚴重的安全漏洞。此前，受cve20213449漏洞的影響，受影響的服務(wù)器在收到未經(jīng)驗證的最終用戶的惡意請求時可能會崩潰。
密碼學工程師菲利普·瓦爾索達(filippo valsorda)在推特上表示，該問題影響了互聯(lián)網(wǎng)上的大多數(shù)openssl服務(wù)器。
并且黑客僅通過使用握手期間發(fā)送給服務(wù)器的惡意請求(重新協(xié)商)就可以在最終用戶和服務(wù)器之間建立安全連接。
維護者在一個通知(portal)中寫道:如果從客戶端發(fā)送惡意重新協(xié)商的clienthello消息，openssl服務(wù)器可能會崩潰。
如果clienthello中的原tls v1.2重新協(xié)商省略了簽名算法擴展但包含了signature_algorithms _ cert證書擴展，則會導(dǎo)致空指針取消引用，從而導(dǎo)致崩潰和拒絕服務(wù)(dos)攻擊。
對于這個openssl高危漏洞，研究人員早在3月17日就進行了報告。幸運的是，在諾基亞開發(fā)者peter k? stle和samuel sapalski的幫助下，openssl現(xiàn)在已經(jīng)正式屏蔽了這個漏洞。
此外，openssl還修復(fù)了一個cve20213450漏洞，該漏洞可能在極端情況下出現(xiàn)，以阻止應(yīng)用程序檢測，以及。拒絕不是由瀏覽器信任的證書頒發(fā)機構(gòu)簽名的tls證書。
需要指出的是，openssl 1.1.1h及以后的版本容易受到相關(guān)漏洞攻擊，openssl 1.0.2不在其中，但建議您盡快升級到最新的openssl 1.1.1k版本。
了解更多openssl漏洞補丁下載(openssh修復(fù))相關(guān)內(nèi)容請關(guān)注本站點。