ArsTechnica 報道稱，OpenSSL 是被許多網(wǎng)站和加密電子郵件服務(wù)提供商所廣泛采納的軟件庫，但不久前，其曝出了一個可能導(dǎo)致服務(wù)器被攻擊崩潰的高危安全漏洞。據(jù)悉，OpenSSL 提供了久經(jīng)考驗的加密功能，且實現(xiàn)了基于 TLS 的安全傳輸協(xié)議。作為接替 SSL 安全套接層的后繼協(xié)議，其用于在互聯(lián)網(wǎng)服務(wù)器和最終用戶客戶端之間的數(shù)據(jù)流加密。

TLS 應(yīng)用程序的開發(fā)者們，可借助 OpenSSL 來節(jié)省重復(fù)工作，以避免專家們并不建議的常見短板。

當黑客于 2014 年開始利用開源代碼庫中的一個嚴重漏洞時，OpenSSL 在互聯(lián)網(wǎng)安全領(lǐng)域發(fā)揮的關(guān)鍵作用，就得到了充分的體現(xiàn)。

據(jù)悉，黑客可利用這些漏洞，從世界各地的服務(wù)器竊取加密密鑰等敏感的客戶信息?！靶呐K出血”（Heartbleed）漏洞更是僅憑幾行代碼就掀翻了銀行、新聞?wù)军c、律所等大量組織機構(gòu)。

本周四，OpenSSL 維護團隊披露其已經(jīng)修補了一個嚴重的安全漏洞。此前受 CVE-2021-3449 漏洞的影響，受影響的服務(wù)器可能在收到未經(jīng)驗證的最終用戶惡意請求時發(fā)生崩潰。

密碼學(xué)工程師 Filippo Valsorda 在 Twitter 上表示，問題影響互聯(lián)網(wǎng)上的大多數(shù) OpenSSL 服務(wù)器。

且黑客只需利用握手期間向服務(wù)器發(fā)送的惡意請求（重新協(xié)商），便可在最終用戶和服務(wù)器之間建立安全連接。

維護人員在一份通報（傳送門）中寫到：若從客戶端發(fā)送了經(jīng)過惡意之作的重協(xié)商 ClientHello 消息，則 OpenSSL 服務(wù)器可能發(fā)生崩潰。

若最初的 ClientHello 中存在的 TLS v1.2 重協(xié)商省略了 signature_algorithms 簽名算法擴展名、但包括了 signature_algorithms_cert 證書擴展名，就會導(dǎo)致 NULL 指針取消引用、從而引發(fā)崩潰和拒絕服務(wù)（DoS）攻擊。

對于這個 OpenSSL 高危漏洞，研究人員早在 3 月 17 日就進行了上報。慶幸的是，在諾基亞開發(fā)人員 Peter K?stle 和 Samuel Sapalski 的幫助下，OpenSSL 現(xiàn)已正式堵上這一漏洞。

此外 OpenSSL 還修復(fù)了一個可能在極端情況下發(fā)生的 CVE-2021-3450 漏洞，以阻止應(yīng)用程序檢測、和拒絕未由瀏覽器信任的證書頒發(fā)機構(gòu)簽名的 TLS 證書。

需要指出的是，OpenSSL 1.1.1h 及更高版本易受到相關(guān)漏洞攻擊的影響，而 OpenSSL 1.0.2 并不在其中，不過還是建議大家盡快升級到最新的 OpenSSL 1.1.1k 版本。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/