合 OpenSSL升级及其漏洞说明
简介
OpenSSL全称为Secure Socket Layer。是Netscape所研发。利用数据加密(Encryption)作技术保障在Internet上传输数据的安全。可确保数据在网络上的传输不会被窃听及截取。当然,OpenSSL是一个强大的password库,我们在使用SSL协议的时候不一定非得採用OpenSSL,只是眼下基本上都是用的OpenSSL,由于它更安全。使用起来也更简单。
官网:www.openssl.org
https://github.com/openssl/openssl
漏洞说明
低版本的OpenSSL存在多个安全漏洞,其中最为著名的漏洞是Heartbleed漏洞(CVE-2014-0160),这是一个严重的漏洞,可以允许攻击者从OpenSSL受影响的服务器上读取机密信息,例如加密密钥、会话令牌和其他敏感数据,而不需要进行身份验证。Heartbleed漏洞影响了OpenSSL 1.0.1版本至1.0.1f版本和1.0.2版本至1.0.2beta版本,这些版本在2012年3月14日至2014年4月7日期间发布。
除了Heartbleed漏洞外,低版本的OpenSSL还存在其他多个漏洞,例如POODLE漏洞(CVE-2014-3566)、BEAST漏洞(CVE-2011-3389)、FREAK漏洞(CVE-2015-0204)等等。这些漏洞都可能导致信息泄露或其他安全问题,因此使用最新版本的OpenSSL非常重要,以确保系统的安全性和稳定性。
OpenSSL 1.0.2k-fips是一种加强安全性的版本,其中的“fips”表示它符合美国联邦信息处理标准(FIPS)的安全要求。在该版本中,许多安全漏洞已被修复,包括Heartbleed漏洞、POODLE漏洞、BEAST漏洞等。但是,与任何软件一样,它可能会存在未知的漏洞或新的安全威胁。OpenSSL 1.0.2k-fips版本修复了Heartbleed漏洞。Heartbleed漏洞最初于2014年4月被公开披露,OpenSSL 1.0.2k-fips版本于2017年1月发布,其中包括对Heartbleed漏洞的修复。
因此,建议及时更新到最新版本的OpenSSL,以获取最新的安全修复和功能更新,并遵循最佳的安全实践,例如使用安全协议(例如TLS 1.2或更高版本)、启用必要的加密算法、禁用不安全的加密算法等,以最大程度地保护系统的安全性。同时,还应定期审查并更新系统中的所有软件包和依赖项,以确保系统的安全性。
在互联网安全协议OpenSSL v1.0.1到1.0.1f的password算法库中发现了一个很严重bug(CVE-2014-0160),该bug同意攻击者读取存在bug的系统的64k处理内存,暴露加密流量的密钥,用户的名字和password,以及訪问的内容。这个漏洞被称之为heartbleed,心脏流血。