Linux中國

新的OpenSSL分支未包含Heartbleed漏洞,但需要認真看待

這個漏洞,根據谷歌高級軟體工程師Adam Langley描述,已經至少存在了15年時間。可惜Core Infrastructure Initiative(CII)提供了讓更多的程序員來拯救OpenSSL的資金,卻尚未來得及發揮作用。

也就是說這個漏洞依然是和Heartbleed漏洞一樣糟糕。對於一些新手,攻擊者需要在系統和瀏覽器或其它啟用了SSL的客戶端之間來利用這個安全漏洞

儘管它只是可能被利用,你依然需要儘可能快的通過升級來解決這個漏洞。就像NTT Com Security的評估服務負責人Chris Camejo在郵件採訪里說的,「這很糟糕,因為已經存在了這麼長的時間,看起來傳播範圍相當廣泛。」

他補充到:「如果利用它,攻擊者可以解密流量。從SSL的設計目的看,這是一個很嚴重的問題。SSL被廣泛地用來在網站和郵件中保護很多的密碼,信用卡卡號和其他的敏感信息。」

在另外一個採訪中,Red Hat的產品安全高級負責人Mark Cox詳細深入地介紹了細節)。Cox說,OpenSSL已修正了一些安全缺陷,但是我們需要想辦法告訴人們不要因為Heartbleed而陷入恐慌。

Cox解釋說,Heartbleed漏洞在公布之前得到了修補,但利用此漏洞的消息在修補程序之前傳開,因此在這個問題上招致了許多抱怨。最新的情況,已有七個安全問題得到了修補,但其中只有兩項需要管理員和用戶的關注。

Cox繼續說道,第一個,是數據報傳輸層安全 (DTLS)的bug。到目前為止,還沒有已知的攻擊,但是存在針對它攻擊成功的潛在性。

因此,雖然DTLS使用不廣泛,如果您確實在使用它,它應儘快修補。

Cox然後說,「這個問題的實際上是中間人攻擊」。實際上,真的要有個「在中間的」人,來利用易受攻擊的伺服器和客戶端之間的漏洞。

但如果有人真的這樣做到了,他們就能「繞過SSL並拿到原始數據...這是一個相當嚴重的問題」。

但是,如同從理論上講任何人都可以利用Heartbleed漏洞來攻擊SSL伺服器。攻擊並利用此漏洞需要能接觸到客戶端和伺服器之間的通信網路。例如,成功的攻擊可能需要架設一個假的公開Wi-Fi接入點,才能攻擊到使用這個WIFI的Android版本的Chrome網路瀏覽器與未安裝修補程序的Web伺服器之間的SSL通訊。幸運的是,谷歌已經發布了更新的版本的瀏覽器,35.0.1916.141,以消除此問題。

Cox繼續說,最易受攻擊的系統是未安裝修補程序的Android設備使用一個假的Wi-Fi接入點。Morrell補充說因為Android用戶並沒有被他們的手機供應商和電信公司重視,安全漏洞更新前他們可能會受漏洞影響相當長的時間。

幸運的是,如果他們用連接的伺服器已經更新,他們也不會受到攻擊。

OpenSSL安全社區自5月初以來已經知道這個問題。社區與Red Hat、其他主要Linux和開源社團和硬體供應商,要解決這個問題,不只是簡單修補bug,而且要測試修復,以便他們可以確認漏洞已經修復,大家都已經安全了,而沒有引入任何新的安全問題,並可在大多數 OpenSSL伺服器和客戶端的組合上工作。

現在,這個補丁已經有了,OpenSSL試著通過補丁解決安全缺陷,向公眾表明對這些問題不必有任何不必要的恐慌。Cox補充說,主要的Linux供應商,如Red Hat和Ubuntu,已經有可用的修補程序。

所有的管理員都需要給伺服器下載並安裝補丁,而不是放任安全漏洞

via: http://www.zdnet.com/new-openssl-breech-is-no-heartbleed-but-needs-to-be-taken-seriously-7000030273/

譯者:lolipop 校對:wxy

本文由 LCTT 原創翻譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國