OpenSSL 1.0.2a修复14个安全漏洞

安全 开源
WinterIsComing (31822)发表于 2015年03月20日 09时18分 星期五
来自西朝鲜已经冒烟部门
Shawn the R0ck 写道 "几天前(2015年3月16日),SSL/TLS的著名自由软件实现OpenSSL社区邮件列表中公布了在新版本中将会有重大漏洞的修复,2015年3月19日,OpenSSL 1.0.2a正式发布,其中一共修复了14个安全漏洞,其中2个属于高风险级别,CVE-2015-0291可以让客户端发起密钥重协商请求时使用一个无效的签名算法扩展去触发空指针引用(NULL DEREF)导致服务器crash掉,CVE-2015-0204就是FREAK漏洞,一开始被认为是低危漏洞,但最近的讨论都把NSA的实际漏洞利用放在了威胁建模里,所以最终OpenSSL社区安全公告认定为高危,在后棱镜时代,SSL/TLS的自由软件实现比以前任何时候都重要,建议企业开始计划打补丁,不然等到有公开的漏洞利用就只能被白帽子们日。btw:企业的运维们睡觉时斯拉夫兵工厂可是在冒烟的;-)"

「星期五」 Hello Friday

OpenSSL 1.0.2a修复14个安全漏洞

Shawn the R0ck 写道 "几天前(2015年3月16日),SSL/TLS的著名自由软件实现OpenSSL社区邮件列表中公布了在新版本中将会有重大漏洞的修复,2015年3月19日,OpenSSL 1.0.2a正式发布,其中一共修复了14个安全漏洞,其中2个属于高风险级别,CVE-2015-0291可以让客户端发起密钥重协商请求时使用一个无效的签名算法扩展去触发空指针引用(NULL DEREF)导致服务器crash掉,CVE-2015-0204就是FREAK漏洞,一开始被认为是低危漏洞,但最近的讨论都把NSA的实际漏洞利用放在了威胁建模里,所以最终OpenSSL社区安全公告认定为高危,在后棱镜时代,SSL/TLS的自由软件实现比以前任何时候都重要,建议企业开始计划打补丁,不然等到有公开的漏洞利用就只能被白帽子们日。btw:企业的运维们睡觉时斯拉夫兵工厂可是在冒烟的;-)"

WinterIsComing 发表于

2015年03月20日 09时18分