OpenSSL将于本周修补高严重性漏洞

在昨晚发布的邮件列表中，马特·卡斯韦尔OpenSSL项目团队的负责人宣布OpenSSL版本1.0.2a,1.01M,1.0.0r和0.9.8zf将于周四发布。

OpenSSL是SSL和TLS协议的开源实现。这是一种几乎所有网站都广泛使用的加密web会话的技术，即使是通过Internet为几乎一半的网站供电的Apache web服务器也使用OpenSSL。

关于神秘安全漏洞的更多细节()虽然一些行业专家推测，这种高严重性的缺陷可能是另一个缺陷，但目前还无法获得贵宾犬或心碎漏洞，最严重的TLS/SSL漏洞，据信至今仍在影响互联网上的网站。

 

Heartbleed是去年4月在早期版本的OpenSSL中发现的，它允许黑客读取用户加密数据的敏感内容，例如信用卡交易，甚至从互联网服务器或客户端软件中窃取SSL密钥。

 

同样，同年6月，OpenSSL项目团队发现并修复了一个严重的中间人（MITM）漏洞。然而，该漏洞并不像Heartbleed漏洞那么严重，但其严重程度足以解密、读取或操作加密数据，尤其影响Android用户。

 

几个月后，另一个关键缺陷，贵宾犬--在降级的旧版加密上填充Oracle--是在已有十年历史但广泛使用的安全套接字层（SSL）3.0加密协议中发现的，该协议允许黑客解密网站加密连接的内容。

 

最近，一个新的缺陷被称为怪胎--RSA-EXPORT密钥的因子分解攻击--发现这使得攻击者能够迫使包括OpenSSL在内的SSL客户端降级，以削弱容易被破解的密码，从而有可能通过进行中间人攻击来窃听加密网络。

 

几乎每个大品牌都受到了这一危险的畸形缺陷的影响，包括苹果和安卓智能手机设备、黑莓设备和云服务，以及所有版本的Windows操作系统。

 

因此，OpenSSL是一个重要的软件项目，在Linux基金会的核心基础设施计划中排名第一，因为它的广泛使用和缺乏深入的安全审查。

 

包括谷歌、Facebook和思科在内的大公司正在资助互联网的核心基础设施倡议“一个每年200万美元的项目，致力于支持和审计开源项目。