安全動(dòng)態(tài)

OpenSSL修復(fù)加密漏洞、加強(qiáng)Logjam防御

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-02-06    瀏覽次數(shù):
 

信息來(lái)源:企業(yè)網(wǎng) 

OpenSSL項(xiàng)目團(tuán)隊(duì)為其密碼庫(kù)發(fā)布補(bǔ)丁以修復(fù)一個(gè)嚴(yán)重的漏洞(該漏洞可能允許攻擊者解密HTTPS通信),同時(shí)強(qiáng)化對(duì)Logjam的防御。

解密攻擊漏洞是在OpenSSL處理某些特定情況下DH密鑰交換時(shí)發(fā)現(xiàn)的。通常,OpenSSL只使用所謂的“安全”質(zhì)數(shù),但在OpenSSL1.0.2中,生成參數(shù)文件的新方式將重新啟用一個(gè)質(zhì)數(shù)。理論上講,攻擊者就可以使用這個(gè)值來(lái)解密加密的安全通信。

不過(guò)有咨詢師指出這種攻擊很難執(zhí)行,因?yàn)樗枰肮粽咴谕粋€(gè)人使用相同的DH指數(shù)時(shí)完成多個(gè)信號(hào)交換”。

Micro Focus解決方案架構(gòu)師Garve Hays稱該風(fēng)險(xiǎn)是有限的,因?yàn)槟芙佑|到主要是提供Forward Secrecy的服務(wù),諸如Gmail、Twitter以及Facebook等。

“好消息是這些企業(yè)勤于打補(bǔ)丁,因而風(fēng)險(xiǎn)很快會(huì)被控制,”Hays表示。“Forward Secrecy其協(xié)議特性是不允許用私鑰解密消息。因此當(dāng)獲取到私鑰時(shí),它并不能用于倒回并恢復(fù)舊有通信?!?

OpenSSL1.0.1不容易遭到這種攻擊,而使用1.0.2版本的用戶需要盡早安裝OpenSSL1.0.2補(bǔ)丁。

新補(bǔ)丁同時(shí)添加一些新的特性以進(jìn)一步降低Logiam攻擊的影響。Logiam可允許中間人攻擊者讓易被攻擊的TLS連接更加脆弱。之前的OpenSSL補(bǔ)丁通過(guò)拒絕參數(shù)在768位以下的信息交換來(lái)防御該攻擊,新的補(bǔ)丁強(qiáng)化了該協(xié)定,拒絕參數(shù)在1024位以下的信息交換。

 
 

上一篇:FreeBSD遠(yuǎn)程DoS攻擊的利用分析(CVE-2016-1879)

下一篇:2016年02月04日 每日安全資訊