OpenSSL明日將發布安全補丁，修復未披露的0day高危漏洞

OpenSSL 官方發布漏洞預警，提醒系統管理員做好 OpenSSL 的升級準備。最新版本 OpenSSL 將于 7 月 9 日（本周四）發布，修復了一個未經披露的高危漏洞。不少安全專家推測，這個高危漏洞將可能是另一個“心臟滴血”。

神秘的高危 0day 漏洞

OpenSSL 是一個廣泛使用的開源軟件庫，它使用 SSL 和 TLS 為大多數網站提供加密的互聯網連接。

OpenSSL 項目團隊在本周一宣布，即將發布的 OpenSSL 加密庫新版本 1.0.2d 和 1.0.1p 中解決了一個被定位于“高危”的安全漏洞。

關于這個神秘的安全漏洞，除了知道它并不影響 1.0.0 或 0.9.8 版本之外，目前還沒有更詳細的消息。在前天公開的一封郵件列表記錄中，開發者 Mark J Cox 陳述道：

“OpenSSL 項目團隊宣布即將發布 OpenSSL 新版本 1.0.2d 和 1.0.1p，這兩個新版本將于 7 月 9 日發布。值得注意的是，這兩個新版本中都修復了一個安全等級評定為“高危”的漏洞。不過，這個漏洞并不影響 1.0.0 或 0.9.8 版本。”

OpenSSL 官方在發布新版本前發出預警，很可能是為了防止在更新補丁發布給大眾之前，黑客利用該漏洞進行攻擊。

不少安全專家推測，這個高危漏洞將可能是另一個“心臟滴血（Heartbleed）”漏洞或 POODLE 漏洞，而這兩者曾被認為是最糟糕的 TLS/SSL 漏洞，直到今天人們認為它們仍然在影響互聯網上的網站。

OpenSSL 高危漏洞回顧

心臟滴血漏洞：該漏洞去年 4 月份被發現，它存在于 OpenSSL 早期版本中，允許黑客讀取受害者加密數據的敏感內容，包括信用卡詳細信息，甚至能夠竊取網絡服務器或客戶端軟件的加密 SSL 密鑰。

POODLE 漏洞：幾個月后，在古老但廣泛應用的 SSL 3.0 加密協議中發現了另一個被稱為 POODLE（Padding Oracle On Downgraded Legacy Encryption）的嚴重漏洞，該漏洞允許攻擊者解密加密連接的內容。

OpenSSL 在今年 3 月份的一次更新中修復了一批高嚴重性的漏洞，其中包括拒絕服務漏洞（CVE-2015-0291），它允許攻擊者攻擊在線服務并使其崩潰；此外還有 FREAK 漏洞（CVE-2015-0204），它允許攻擊者迫使客戶端使用弱加密方式。

參考來源 thehackernews，有適當修改，轉載請注明來自 FreeBuf 黑客與極客。