科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全OpenSSL修复加密漏洞、加强Logjam防御

OpenSSL修复加密漏洞、加强Logjam防御

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

OpenSSL项目团队为其密码库发布补丁以修复一个严重的漏洞(该漏洞可能允许攻击者解密HTTPS通信),同时强化对Logjam的防御。

来源:TechTarget中国 2016年2月5日

关键字: OpenSSL 漏洞修复 解密攻击漏洞

  • 评论
  • 分享微博
  • 分享邮件

OpenSSL项目团队为其密码库发布补丁以修复一个严重的漏洞(该漏洞可能允许攻击者解密HTTPS通信),同时强化对Logjam的防御。

解密攻击漏洞是在OpenSSL处理某些特定情况下DH密钥交换时发现的。通常,OpenSSL只使用所谓的“安全”质数,但在OpenSSL1.0.2中,生成参数文件的新方式将重新启用一个质数。理论上讲,攻击者就可以使用这个值来解密加密的安全通信。 

不过有咨询师指出这种攻击很难执行,因为它需要“攻击者在同一个人使用相同的DH指数时完成多个信号交换”。 

Micro Focus解决方案架构师Garve Hays称该风险是有限的,因为能接触到主要是提供Forward Secrecy的服务,诸如Gmail、Twitter以及Facebook等。 

“好消息是这些企业勤于打补丁,因而风险很快会被控制,”Hays表示。“Forward Secrecy其协议特性是不允许用私钥解密消息。因此当获取到私钥时,它并不能用于倒回并恢复旧有通信。” 

OpenSSL1.0.1不容易遭到这种攻击,而使用1.0.2版本的用户需要尽早安装OpenSSL1.0.2补丁。 

新补丁同时添加一些新的特性以进一步降低Logiam攻击的影响。Logiam可允许中间人攻击者让易被攻击的TLS连接更加脆弱。之前的OpenSSL补丁通过拒绝参数在768位以下的信息交换来防御该攻击,新的补丁强化了该协定,拒绝参数在1024位以下的信息交换。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章