新的OpenSSL分支未包含Heartbleed漏洞，但需要認真看待

這個漏洞，根據谷歌高級軟體工程師Adam Langley描述，已經至少存在了15年時間。可惜Core Infrastructure Initiative(CII)提供了讓更多的程序員來拯救OpenSSL的資金，卻尚未來得及發揮作用。

也就是說這個漏洞依然是和Heartbleed漏洞一樣糟糕。對於一些新手，攻擊者需要在系統和瀏覽器或其它啟用了SSL的客戶端之間來利用這個安全漏洞。

儘管它只是可能被利用，你依然需要儘可能快的通過升級來解決這個漏洞。就像NTT Com Security的評估服務負責人Chris Camejo在郵件採訪里說的，「這很糟糕，因為已經存在了這麼長的時間，看起來傳播範圍相當廣泛。」

他補充到：「如果利用它，攻擊者可以解密流量。從SSL的設計目的看，這是一個很嚴重的問題。SSL被廣泛地用來在網站和郵件中保護很多的密碼，信用卡卡號和其他的敏感信息。」

在另外一個採訪中，Red Hat的產品安全高級負責人Mark Cox詳細深入地介紹了細節)。Cox說，OpenSSL已修正了一些安全缺陷，但是我們需要想辦法告訴人們不要因為Heartbleed而陷入恐慌。

Cox解釋說，Heartbleed漏洞在公布之前得到了修補，但利用此漏洞的消息在修補程序之前傳開，因此在這個問題上招致了許多抱怨。最新的情況，已有七個安全問題得到了修補，但其中只有兩項需要管理員和用戶的關注。

Cox繼續說道，第一個，是數據報傳輸層安全 (DTLS)的bug。到目前為止，還沒有已知的攻擊，但是存在針對它攻擊成功的潛在性。

因此，雖然DTLS使用不廣泛，如果您確實在使用它，它應儘快修補。

Cox然後說，「這個問題的實際上是中間人攻擊」。實際上，真的要有個「在中間的」人，來利用易受攻擊的伺服器和客戶端之間的漏洞。

但如果有人真的這樣做到了，他們就能「繞過SSL並拿到原始數據...這是一個相當嚴重的問題」。

但是，如同從理論上講任何人都可以利用Heartbleed漏洞來攻擊SSL伺服器。攻擊並利用此漏洞需要能接觸到客戶端和伺服器之間的通信網路。例如，成功的攻擊可能需要架設一個假的公開Wi-Fi接入點，才能攻擊到使用這個WIFI的Android版本的Chrome網路瀏覽器與未安裝修補程序的Web伺服器之間的SSL通訊。幸運的是，谷歌已經發布了更新的版本的瀏覽器，35.0.1916.141，以消除此問題。

Cox繼續說，最易受攻擊的系統是未安裝修補程序的Android設備使用一個假的Wi-Fi接入點。Morrell補充說因為Android用戶並沒有被他們的手機供應商和電信公司重視，安全漏洞更新前他們可能會受漏洞影響相當長的時間。

幸運的是，如果他們用連接的伺服器已經更新，他們也不會受到攻擊。

OpenSSL安全社區自5月初以來已經知道這個問題。社區與Red Hat、其他主要Linux和開源社團和硬體供應商，要解決這個問題，不只是簡單修補bug，而且要測試修復，以便他們可以確認漏洞已經修復，大家都已經安全了，而沒有引入任何新的安全問題，並可在大多數 OpenSSL伺服器和客戶端的組合上工作。

現在，這個補丁已經有了，OpenSSL試著通過補丁解決安全缺陷，向公眾表明對這些問題不必有任何不必要的恐慌。Cox補充說，主要的Linux供應商，如Red Hat和Ubuntu，已經有可用的修補程序。

所有的管理員都需要給伺服器下載並安裝補丁，而不是放任安全漏洞。

via: http://www.zdnet.com/new-openssl-breech-is-no-heartbleed-but-needs-to-be-taken-seriously-7000030273/

譯者：lolipop 校對：wxy

本文由 LCTT 原創翻譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive