OpenSSL再曝一批新漏洞 安全專家認為影響不大

3 月 20 日消息，據路透社報道，知名加密軟件 OpenSSL 周四再被曝光一批新漏洞。不過相比一年前讓整個計算機行業陷入恐慌的“心臟流血”（Heartbleed），安全專家們認為此一批新漏洞將不足以造成同等 效果的轟動，況且 OpenSSL 項目維護組早在一周前就發出了警示，并已開始著手進行修復。

“心臟流血”漏洞曝光于 2014 年 4 月。該漏洞的發現一度引起行業高度緊張——大批計算機、軟件以及網絡設備商被迫緊急發布產品修復補丁，大企業客戶也不得不數次往返數據中心，以鑒別存在風險的設備。

數日前，OpenSSL 項目維護組發出了預警，并表示將會在未來幾天發布一批針對新漏洞的安全補丁。這讓部分互聯網安全觀察人士感到擔憂，一些人甚至認為新漏洞有可能會成為下一個“心臟流血”。

“你當然需要嚴肅對待任何一個安全漏洞，不過這一次情況可能不同。我們有一周的時間來做準備。”網絡安全機構 Tenable Network Security 分析師克里斯·托馬斯（Cris Thomas）表示。

OpenSSL 項目維護組不久前針對旗下四個不同版本的軟件發布了一組安全更新，其中 12 個于近期由各機構安全研究人員提交的漏洞得到修復，也包括一個可能導致系統易遭受 DoS 攻擊的漏洞。

“這樣的漏洞不會威脅到 OpenSSL 的數據加密技術。”Qualys 應用安全總監伊凡·里斯迪克（Ivan Ristic）表示。

里斯迪克對新一批的漏洞曝光并不感到擔憂，因為大多存在問題的 OpenSSL 新版本都還尚未被廣泛使用。

“這一次的漏洞曝光不是什么大不了的事情。”里斯迪克表示，“我認為人們對此感到恐懼，才正是一切恐慌蔓延的開始。”（盧鑫）