首页 > 动态 > 关键词 > OpenSSL最新资讯 > 正文

OpenSSL再曝高危漏洞 百度提醒用户尽快升级补丁

2015-07-10 15:17 · 稿源:比特网
文章目录

7月9日,OpenSSL官方发布了1.0.2d 和 1.0.1p两个主线版本的更新,修复了1个 “高危”级别的安全漏洞(CVE-2015-1793)。该漏洞可能导致使用OpenSSL的客户端程序在与服务端建立加密连接过程中其证书校验措施被绕过。百度安全提醒用户及时升级到最新的官方版本。

OpenSSL官方对于这一漏洞的描述为:OpenSSL(1.0.1n和1.0.2b以上版本)在证书链验证过程中,如果首次证书链校验失败,则会尝试使用一个其他的证书链来重新尝试进行校验;其实现中存在一个逻辑错误,导致对于非可信证书的一些检查被绕过,这直接的后果导致比如使没有CA签发能力的证书被误判为具有CA签发能力,其进行签发的证书可以通过证书链校验等。

百度安全专家表示,根据OpenSSL官网描述可以看出,该漏洞可能导致证书校验环节被绕过:当客户端向服务器端发起验证时,攻击者可以仿冒服务器,对用户进行钓鱼攻击,或者充当反向代理截取用户敏感信息等;在某些需要服务端同时对客户端进行反向校验的应用场景,如:网银支付证书校验、企业VPN登录、无线Wifi接入等,可能会导致攻击者成功的仿冒特定用户,获取访问相应机密信息的权限。因此百度安全建议相关行业应用及启用反向验证的服务商对该漏洞给予高度重视,及时升级到官方最新版本。

同时,从官网信息可以看到,此次修复的openssl高危漏洞,是今年以来openssl官方修复的第26个漏洞。OpenSSL去年曝出的“心脏滴血”漏洞震惊整个信息安全界,今年又接连曝出数个漏洞。开源软件的安全性实在是让人感到不安。

 

  • 相关推荐
  • 大家在看
  • 思科发布5个高危安全补丁,RV系列路由器赶紧升级!

    思科(Cisco)于7月17日发布了安全公告,修复了5个影响RV系列VPN路由器和防火墙的高危安全漏洞。以下是漏洞详情:1.防火墙静态默认证书漏洞(CVE-2020-3330)思科小型企业RV110W Wireless-N VPN防火墙路由器的Telnet服务中的漏洞可能允许未经身份验证的远程攻击者完全控制具有高特权帐户的设备。存在此漏洞是因为系统帐户具有默认和静态密码。攻击者可以通过使用此默认帐户连接到受影响的系统来利用此漏洞。成功的利用可能使攻击者获?

  • 微软更新123个修复补丁 最严重DNS漏洞已存在17年

    ​微软官方在本周Patch Tuesday(星期二补丁日)发布了 123 个修复补丁的更新,其中包括了今年到目前为止最严重的DNS漏洞的修复补丁,该漏洞已存在 17 年。据外媒The Verge报道,该漏洞可能会被无操作授权的网络攻击者利用,并以此向Windows DNS服务器发送恶意请求来攻击用户的系统。

  • DNF刨冰达人活动优化补丁 DNF刨冰达人答案补丁下载

    DNF刨冰达人活动优在最近开启了,很多玩家还不清楚怎么玩这类活动,不过不用担心,有玩家搞了刨冰达人的活动补丁,可以方便大家玩刨冰达人,下面就来为大家详细的介绍一下。

  • 打破神话的代币经济与一些常见的思维漏洞

    “在这篇文章中,我将对与代币经济相关的一些概念进行解释,欢迎大家阅读本文。——币安首席执行官赵长鹏(CZ)每天,我都看到人们对代币经济基础概念的各种思维漏洞。我知道,关于金融、关于货币供给系统如何运作等知识,学校教科书内容涉及的介绍篇幅有限。我也知道,加密资产是新兴行业,有些知识是需要我们所有人都去学习的。在这篇文章中,我将解释一些概念,请轻松浏览本文。这些都是我本人的观点,观点可能有失偏颇。我推荐大

  • 微软针对Win10 5月更新发布新补丁:解决强制重启问题

    现在微软放出了Windows 10 5月更新的补丁 KB4565503,,其主要解决了一些Bug,而系统升级后版本号变成了Build 19041.388(v1909、1903版本变成了Build 18363.959)。具体来说,Windows 10 5月

  • NEC爆出大量安全漏洞,或将影响所有中小企业及政府!

    日本NEC是全球IT、通信网络的领先供应商之一,也是全球500强企业之一。NEC主要从事IT服务、平台业务、运营商网络、社会基础设施、个人解决方案等产品的研发、集群软件、生产和销售,产品多达15000多种.NEC在全球150多个国家和地区开展业务,融合先进的信息技术和网络技术,向政府、企业及个人提供卓越的综合解决方案。不过7月30日,NEC被爆其通信产品和解决方案中存在大量安全漏洞,旗下多款通信服务器和电话交换机纷纷中招,或将影响

  • 纸人2全部boss打法攻略 杨依兰夫人等boss打法教程

    纸人2中的boss不是特别多,但是有的boss还是需要一定的技巧才能过关的,今天就来为大家带来殷凌、殷洪​、杨依兰等boss战的打法攻略,希望对大家有所帮助。

  • 黑客发现新漏洞:可用于iOS 13.6越狱

    据外媒最新报道称,已经有开发者给出消息称,有用于iOS 13.6正式版的漏洞了(efp0),不过目前相应的越狱工具还在初始阶段。需要指出的是,针对 tfp0 漏洞利用的开发仍处于早期阶段,且目前尚

  • IBM 多款产品爆出漏洞,或严重影响银行等金融机构

    IBM是全球最大的信息技术和业务解决方案公司,其全球能力包括服务、软件、硬件系统、研发及相关融资支持。IBM始终以超前的技术、出色的管理和独树一帜的产品领导着信息产业的发展,保证了世界范围内几乎所有行业用户对信息处理的全方位需求。不过IBM于7月31日发布了安全公告,IBM 旗下多款产品存在大量漏洞,或严重影响银行等金融机构。以下是漏洞详情:一.金融事务管理器(FTM HVP)IBM Financial Transaction Manager for High Va

    IBM
  • SIGRed 严重漏洞来势汹汹,立即修复刻不容缓

    想象一下,如果有人能够在您不知情的情况下拦截并阅读您的每一封邮件(包括新办理的银行卡、各种支付账号信息、工作申请表等等)然后再将其转发给您,将会发生什么?通过邮件了解您的详细信息,黑客能通过复制或篡改您的邮件对您造成破坏性影响。再试想一下,黑客可以在您企业的网络上执行相同的操作,拦截和操控用户的电子邮件和网络流量,终止服务运行,收集用户凭证等等。实际上,他们将能够完全控制您的 IT 设施与核心业务。

  • 安全人员称苹果Enclave存在漏洞 但不会影响大多数iPhone用户

    安全研究人员近日披露了苹果Secure Enclave处理器的一个漏洞,但虽然敏感信息的数据存储,意味着包括Apple Pay详情和Face ID生物识别记录在内的数据有可能受到攻击者的攻击,但事实上,这对于绝大多数苹果客户来说,它不大可能成为一个问题。

  • 盘古团队发现苹果不可修复漏洞:iOS 14能完美越狱

    来自中国的安全团队盘古对iOS 14进行了完美越狱,而他们利用了苹果Secure Enclave安全协处理器上的一个“永久性”的漏洞。Secure Enclave安全协处理器几乎是苹果产品的标准配置,它

  • 盘古团队演示iOS 14越狱:发现Secure Enclave存“不可修复”漏洞

    日前召开的 Mosec 2020 大会上,国内越狱团队盘古发现了苹果 Secure Enclave 安全协处理器上的一个“永久性”的漏洞。这可能会让 iPhone、iPad、Mac、Apple Watch 和其他苹果设备处于危险当中。

  • 云安全提醒:火狐浏览器爆出大量安全漏洞,赶紧更新!

    美国Mozilla是一个以创作Firefox网页浏览器而闻名的自由软件社区。Mozilla社区开发、推广和支持Mozilla相关项目,致力于推动自由软件与开放标准的发展。Mozilla Firefox(火狐浏览器)是Mozilla基金会的产品,它是一款开源Web浏览器,引擎反应快,内存占用少。Firefox从2005年开始,每年都被媒体选为年度最佳浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延升支持版本,适用于企业或者工作单位,又称Firefox企业版。它具有体?

  • 炉石传说17.6版本更新日志汇总 17.6补丁更新内容一览

    ​炉石传说即将在7月15日进行新版本17.6的更新维护,此次的更新内容不是很多,下面就来为大家分享一下炉石传说17.6的新版本更新日志汇总。

  • 推特史诗级漏洞 欧科云链OKLink带你追溯被骗的比特币

    北京时间 2020 年 7 月 16 日凌晨三点左右,推特上多位大V账户遭到黑客入侵,这些账号包括比尔·盖茨、特斯拉 CEO 马斯克、前美国副总统拜登和苹果公司官方推特等。有趣的是,这些被黑客入侵的账户全部都在推特上发布了同一条比特币钓鱼信息,“为了回馈大家,只要大家向比特币地址(bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh)发送比特币,就会得到双倍回报,该活动只进行 30 分钟。”据欧科云链 OKLink 浏览器显示,黑客的交易?

  • 谷歌要求马上升级!Android迎来安全更新:修复多个严重漏洞

    今天谷歌发布了新的安全公告,Android系统迎来2020-07-01和2020-07-05两个安全补丁,都是解决棘手的安全漏洞。据公布的内容看,谷歌这次发布的两个针对Android安全补丁,一个是Android和谷歌服

  • 炉石传说18.0新补丁更新维护公告 新英雄比格沃斯送职业橙等活动开启

    炉石传说在7月31日开启了18.0新版本补丁的更新,其中上线了新英雄比格沃斯以及新随从,还有开启了送职业橙的活动,一些小伙伴还不清楚更新内容,下面就来为大家详细的介绍一下。

  • 对马岛之魂1.05版本更新公告 1.05补丁更新内容汇总

    7月28日,在今天对马岛之魂更新了最新的1.05的新版本,其中增加了更难的难度以及简化了一些设置,很多玩家还不清楚这个版本的更新内容,下面就来为大家分享一下对马岛之魂1.05版本更新公告。

  • Jurassic World中的赚钱机会

    LandLab发布的第 1 款游戏神龙岛已经大获成功,其第 2 款游戏Jurassic World即将在 7 月 15 日正式内测,作为具有极具创新性的驯养类区块链游戏,Jurassic World必将给用户带来全新的游戏体验。游戏与区块链技术的结合能够创造大量潜在的金融红利,而且所有人都能平等地参与到利益分配中,早期用户更是可以近水楼台先得月,那Jurassic World中有哪些赚钱机会呢?JT(Jurassic Token)是Jurassic World的游戏通证,总量恒定 10 亿,

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签