您现在的位置: 天下网吧 >> 网吧天下 >> 网吧行业 >> 网络追踪 >> 正文

OpenSSL再爆重大安全漏洞:潜伏16年

[作者:佚名 来源:不详 时间:2014-6-10我来说两句
:OpenSSL再爆重大安全漏洞:潜伏16年

据美国《连线》杂志报道,今年4月爆出的“心脏出血”(Heartbleed)漏洞至今依然令整个互联网界心有余悸,可是如今OpenSSL安全协议又爆出另一项重大漏洞,据悉这项漏洞已经潜伏十六年之久。

OpenSSL基金会近期发布一项建议性警告,希望用户再次对所使用的SSL安全协议进行升级,以修复一项此前从未发现的漏洞。据悉,该漏洞已经存在了十六年,能够允许任何黑客破解加密层窃取数据。由于OpenSSL安全协议在全球广泛使用,因此该基金会发现漏洞之后随即发布补丁,以便各大网站立即升级。

这一漏洞由日本研究人员菊池志(Masashi Kikuchi)发现,通过迫使电脑和服务器使用强度更低的密钥,使得位于两者之间的“中间人”得以进行解密并读取数据。

据菊池志的雇主,软件公司Lepidum发布的一份常见问题文本显示,该缺陷允许恶意中间节点截取被加密的数据,并通过迫使SSL协议客户端使用直接暴露的低强度密钥,从而对其进行解密。业内人士对此解释道,这就好比两个人在建立安全连接,这时有攻击者插入一条命令,让两人误以为他们使用的仍然是“私人”密码,而实际上这一密码已经为攻击者所知。

本次漏洞与Heartbleed并不相同,后者允许任何人直接攻击任何使用OpenSSL协议的服务器,而使用本次漏洞的黑客则必须位于两台联系的计算机之间。尽管如此,该漏洞还是存在巨大的隐患。比如用户在使用公共网络时,就很容易受到攻击。

此外,本次漏洞还有另一大局限性,即只有连接的两端都使用OpenSSL协议时,才可利用本漏洞进行数据破解。专家称,大部分浏览器都使用其他SSL协议,所以并不会受到影响。不过,安卓设备以及许多VPN(虚拟专用网)使用的正是OpenSSL协议,尤其是后者,由于常常涉及敏感数据,因此很容易成为被攻击的目标。

本次漏洞发现者菊池志的博文称,早在1998年,OpenSSL开发之初,该漏洞就一直存在。菊池志指出,尽管OpenSSL协议被广为使用,前不久的Heartbleed事件也引发人们对该协议安全性进行关注,但是OpenSSL代码受到专业安全研究人员的检测和维护程度还是远远不够。如果能够得到TLS/SSL领域专家的维护,这些漏洞可能早就被发现并修补。

有专家指出,在美国国家安全局前雇员斯诺登爆出“棱镜门”事件一周年纪念日之际发现隐藏十几年的安全漏洞,对于安全领域是一个颇具讽刺意味的严酷教训。像OpenSSL这样历史悠久、使用范围广泛的安全协议可能仍然存在最基本的缺陷和漏洞,而仅有少数工程师利用不足的资源对这些协议进行维护,这对于整个互联网界都是一种羞辱。

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:不详 作者:佚名

我来说两句(请遵守法律法规)
声明
本文来源地址:http://www.ithome.com/
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系邮箱:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧 网吧天下

扫一扫,关注天下网吧微信