OpenSSL 又现高危漏洞,心脏又要大出血?

oschina
 oschina
发布于 2015年07月08日
收藏 17

还记得那个因为“心脏出血”而一夜成名的OpenSSL协议吗?它又有漏洞了。一组负责为加密协议OpenSSL做技术支持的开发人员,发现了一个新的神秘“高危”漏洞。OpenSSL是诸如Apache和Nginx这样的开源网络服务器所使用的安全协议,这些网站占到世界上所有网站的66%。当2014年一个代号为Heartbleed的巨大安全漏洞被发现时,全世界都知道了这种少有人知的后台技术。

Heartbleed很危险,因为黑客可以利用OpenSSL,通过网站和服务器窃取数据,即使这些数据是加密的。具体情况可阅读雷锋网的相关文章。

OpenSSL新漏洞的本质仍然是未知数,但工程师对它“高危”的定性已经引起了人们的担忧。OpenSSL项目组将高危漏洞定义为,"影响共同配置的漏洞问题,比如服务器拒绝服务,服务器内存泄漏和远程代码执行等。”

用普通话来说,这意味着漏洞可以被黑客用于各种目的,从令使用了OpenSSL的网络和服务器掉线,到在受害者的系统上安装恶意软件,无所不能。

有关漏洞的进一步细节仍然未知,OpenSSL项目组不想在7月9号漏洞修复之前,为黑客提供任何可利用的信息。

这不是OpenSSL项目组自Heartbleed以来发布的第一个补丁。OpenSSL项目组5月份发布过一个修复14个漏洞的安全补丁,其中两个也是高危漏洞。

当然,并不是所有人都讨厌漏洞,比如美国和英国政府部门对OpenSSL等安全协议很不满。FBI在六月初声称,执法和情报机构在对付恐怖主义和犯罪时,需要采取一些方法来读取加密的信息流。

稿源:雷锋网

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:OpenSSL 又现高危漏洞,心脏又要大出血?
加载中

最新评论(18

dahuzi
dahuzi

引用来自“超级职业玩家”的评论

__JM_Joy__
__JM_Joy__
心血
MikeManilone
MikeManilone
标题党……对OpenSSL这种 security critical 项目来说「高危」漏洞很容易出现。另外「OpenSSL是诸如Apache和Nginx这样的开源网络服务器所使用的安全协议」是什么鬼?!OpenSSL 怎么变成协议了?!
梁选
梁选

引用来自“花谢花开”的评论

flash有漏洞是卸载,openSSL有漏洞是断网。
Linux有漏洞是断电
开源中国首席加班哥
开源中国首席加班哥

引用来自“开元中国2015”的评论

PHP是世界上最好的语言
SB
开元中国2015
开元中国2015
PHP是世界上最好的语言
joker_zhou
joker_zhou

引用来自“subool”的评论

这都是c/c++不检查内存边界的后果。当年c/c++为提升一点性能不检查,现在go/rust不得不大嚷大叫内存安全读写。

引用来自“bonge”的评论

如果检查内存边界,很多工作按照现有思路就没法做了,尤其是硬件操作上
当年如果增加上这些性能..你觉得嵌入式那点小内存OK么还..还有那小芯片..
Kevin19701
Kevin19701
媒体炒作,安全软件又有生意了
b
bonge

引用来自“subool”的评论

这都是c/c++不检查内存边界的后果。当年c/c++为提升一点性能不检查,现在go/rust不得不大嚷大叫内存安全读写。
如果检查内存边界,很多工作按照现有思路就没法做了,尤其是硬件操作上
subool
subool
这都是c/c++不检查内存边界的后果。当年c/c++为提升一点性能不检查,现在go/rust不得不大嚷大叫内存安全读写。
返回顶部
顶部