1. 主頁
  2. 保安警報
  3. 保安警報 (A15-07-05)

保安警報(A15-07-05): OpenSSL漏洞


 

發布日期: 2015年 7月 10日

  
  

描述:

透過利用此OpenSSL程式庫漏洞,攻擊者可以繞過某些核實數碼證書檢驗,如核證機關標誌(CA flag)的檢驗,使只是由有效的子數碼證書但不是其核證機關簽發的證書也通過核實。


受影響的系統:

  • OpenSSL 1.0.1n, 1.0.1o, 1.0.2b 和 1.0.2c 版本
  • 操作系統、網頁伺服器、虛擬私人網絡閘道或採用受影響的OpenSSL程式庫的裝置

影響:

成功利用這些漏洞可以在應用OpenSSL的系統上錯誤地驗證偽造的證書。


建議:

有關漏洞已在OpenSSL 1.0.1p 和 1.0.2d版本中修復。採用OpenSSL以加密網絡通訊的系統,例如受HTTPS保護的網站或SSL-VPN閘道的用戶應聯絡產品供應商以確認是否受有關問題影響。受影響用戶應更新版本或遵從產品供應商的建議,以降低風險。


OpenSSL Software Foundation已公布將於2015年12月31日後停止支援OpenSSL 0.9.8及1.0.0,不會再提供相關保安更新。用戶應考慮升級至1.0.1或1.0.2的最新版本、或聯絡其產品供應商以取得支援。

進一步資訊:

https://www.openssl.org/news/secadv_20150709.txt
https://www.hkcert.org/my_url/zh/alert/15071001
https://www.us-cert.gov/ncas/current-activity/2015/07/09/OpenSSL-Releases-Security-Advisory
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1793



標籤 : OpenSSL
標籤