Linux中国

新的OpenSSL分支未包含Heartbleed漏洞,但需要认真看待

这个漏洞,根据谷歌高级软件工程师Adam Langley描述,已经至少存在了15年时间。可惜Core Infrastructure Initiative(CII)提供了让更多的程序员来拯救OpenSSL的资金,却尚未来得及发挥作用。

也就是说这个漏洞依然是和Heartbleed漏洞一样糟糕。对于一些新手,攻击者需要在系统和浏览器或其它启用了SSL的客户端之间来利用这个安全漏洞

尽管它只是可能被利用,你依然需要尽可能快的通过升级来解决这个漏洞。就像NTT Com Security的评估服务负责人Chris Camejo在邮件采访里说的,“这很糟糕,因为已经存在了这么长的时间,看起来传播范围相当广泛。”

他补充到:“如果利用它,攻击者可以解密流量。从SSL的设计目的看,这是一个很严重的问题。SSL被广泛地用来在网站和邮件中保护很多的密码,信用卡卡号和其他的敏感信息。”

在另外一个采访中,Red Hat的产品安全高级负责人Mark Cox详细深入地介绍了细节)。Cox说,OpenSSL已修正了一些安全缺陷,但是我们需要想办法告诉人们不要因为Heartbleed而陷入恐慌。

Cox解释说,Heartbleed漏洞在公布之前得到了修补,但利用此漏洞的消息在修补程序之前传开,因此在这个问题上招致了许多抱怨。最新的情况,已有七个安全问题得到了修补,但其中只有两项需要管理员和用户的关注。

Cox继续说道,第一个,是数据报传输层安全 (DTLS)的bug。到目前为止,还没有已知的攻击,但是存在针对它攻击成功的潜在性。

因此,虽然DTLS使用不广泛,如果您确实在使用它,它应尽快修补。

Cox然后说,“这个问题的实际上是中间人攻击”。实际上,真的要有个“在中间的”人,来利用易受攻击的服务器和客户端之间的漏洞。

但如果有人真的这样做到了,他们就能“绕过SSL并拿到原始数据...这是一个相当严重的问题”。

但是,如同从理论上讲任何人都可以利用Heartbleed漏洞来攻击SSL服务器。攻击并利用此漏洞需要能接触到客户端和服务器之间的通信网络。例如,成功的攻击可能需要架设一个假的公开Wi-Fi接入点,才能攻击到使用这个WIFI的Android版本的Chrome网络浏览器与未安装修补程序的Web服务器之间的SSL通讯。幸运的是,谷歌已经发布了更新的版本的浏览器,35.0.1916.141,以消除此问题。

Cox继续说,最易受攻击的系统是未安装修补程序的Android设备使用一个假的Wi-Fi接入点。Morrell补充说因为Android用户并没有被他们的手机供应商和电信公司重视,安全漏洞更新前他们可能会受漏洞影响相当长的时间。

幸运的是,如果他们用连接的服务器已经更新,他们也不会受到攻击。

OpenSSL安全社区自5月初以来已经知道这个问题。社区与Red Hat、其他主要Linux和开源社团和硬件供应商,要解决这个问题,不只是简单修补bug,而且要测试修复,以便他们可以确认漏洞已经修复,大家都已经安全了,而没有引入任何新的安全问题,并可在大多数 OpenSSL服务器和客户端的组合上工作。

现在,这个补丁已经有了,OpenSSL试着通过补丁解决安全缺陷,向公众表明对这些问题不必有任何不必要的恐慌。Cox补充说,主要的Linux供应商,如Red Hat和Ubuntu,已经有可用的修补程序。

所有的管理员都需要给服务器下载并安装补丁,而不是放任安全漏洞。

via: http://www.zdnet.com/new-openssl-breech-is-no-heartbleed-but-needs-to-be-taken-seriously-7000030273/

译者:lolipop 校对:wxy

本文由 LCTT 原创翻译,Linux中国 荣誉推出


本文转载来自 Linux 中国: https://github.com/Linux-CN/archive

对这篇文章感觉如何?

太棒了
0
不错
0
爱死了
0
不太好
0
感觉很糟
0
雨落清风。心向阳

    You may also like

    Leave a reply

    您的电子邮箱地址不会被公开。 必填项已用 * 标注

    此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

    More in:Linux中国