1. 主页
  2. 保安警报
  3. 保安警报 (A15-07-05)

保安警报(A15-07-05): OpenSSL漏洞


 

发布日期: 2015年 7月 10日

  
  

描述:

透过利用此OpenSSL链接库漏洞,攻击者可以绕过某些核实数码证书检验,如核证机关标志(CA flag)的检验,使只是由有效的子数码证书但不是其核证机关签发的证书也通过核实。


受影响的系统:

  • OpenSSL 1.0.1n, 1.0.1o, 1.0.2b 和 1.0.2c 版本
  • 操作系统、网页服务器、虚拟私人网络网关或采用受影响的OpenSSL链接库的装置

影响:

成功利用这些漏洞可以在应用OpenSSL的系统上错误地验证伪造的证书。


建议:

有关漏洞已在OpenSSL 1.0.1p 和 1.0.2d版本中修复。采用OpenSSL以加密网络通讯的系统,例如受HTTPS保护的网站或SSL-VPN网关的用户应联络产品供货商以确认是否受有关问题影响。受影响用户应更新版本或遵从产品供货商的建议,以降低风险。


OpenSSL Software Foundation已公布将于2015年12月31日后停止支持OpenSSL 0.9.8及1.0.0,不会再提供相关保安更新。用户应考虑升级至1.0.1或1.0.2的最新版本、或联络其产品供货商以取得支持。

进一步信息:

https://www.openssl.org/news/secadv_20150709.txt
https://www.hkcert.org/my_url/zh/alert/15071001
https://www.us-cert.gov/ncas/current-activity/2015/07/09/OpenSSL-Releases-Security-Advisory
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1793



标签 : OpenSSL
标签