OpenSSL 再爆嚴重安全漏洞 —— CCS 注入
這次bug是由日本程序員Masashi Kikuchi發現的,他在公司技術博客中翔實說明了技術細節:http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html 令人擔憂的是,這個bug已經存在16年之久。從細節中還能看出OpenSSL的開發和審核者對協議本身似乎并不十分熟悉。
OpenSSL 的 ChangeCipherSpec 處理再報嚴重安全漏洞,該漏洞使得攻擊者可以攔截惡意中間節點加密和解密數據,同時迫使使用弱密鑰的SSL客戶端暴露在惡意節點。
當軟件使用OpenSSL的受影響版本,通過網頁瀏覽、電子郵件和V*N進行內容和身份驗證等加密通訊時會有篡改的風險。
受影響的版本包括:
-
OpenSSL 1.0.1 through 1.0.1g
</li> -
OpenSSL 1.0.0 through 1.0.0l
</li> -
all versions before OpenSSL 0.9.8y
</li> </ul>未影響版本: