今天的黑客变得聪明了。 你给他们一个小漏洞,他们充分利用它来破解你的代码。 这一次,黑客的愤怒已经落在OpenSSL上,OpenSSL是一个开源加密库,最常用于互联网服务提供商。
今天,OpenSSL发布了针对六个漏洞的系列补丁。 其中两个漏洞被认为非常严重,包括CVE-2016-2107和CVE-2016-2108。
CVE-2016-2017是一个严重漏洞,允许黑客发起Padding Oracle攻击。 Padding Oracle Attack可以解密使用AES-CBC密码的互联网连接的HTTPS流量,以及支持AES-NI的服务器。
Padding Oracle Attack通过允许黑客发送有关加密有效内容的纯文本内容的重复请求来削弱加密保护。 这个特殊的漏洞最初是由Juraj Somorovsky发现的。
Juraj在博客文章中写道: “ 我们从这些错误中学到的是,修补加密库是一项关键任务,应该通过正面和负面测试进行验证。 例如,在重写部分CBC填充代码之后,必须使用无效的填充消息测试TLS服务器的正确行为。 我希望TLS-Attacker可以用于此类任务。 ”
攻击OpenSSL库的第二个高严重性漏洞称为CVE 2016-2018。 影响和破坏用于编码,解码和传输数据的OpenSSL ASN.1标准的内存是一个主要缺陷。 此特定漏洞允许在线黑客通过Web服务器执行和传播恶意内容。
尽管CVE 2016-2018漏洞已于2015年6月修复,但安全更新的影响已在11个月后曝光。 可以通过使用由认证机构正式签署的定制和伪造的SSL证书来利用此特定漏洞。
OpenSSL还同时发布了针对其他四个轻微溢出漏洞的安全补丁。 这些包括两个溢出漏洞,一个内存耗尽问题和一个低严重性错误导致在缓冲区中返回任意堆栈数据。
已针对OpenSSl版本1.0.1和OpenSSl版本1.0.2发布了安全更新。 为避免对OpenSSL加密库造成进一步损害,建议管理员尽快更新补丁。
这条消息最初发表在The Hacker News上
