【Web漏洞响应】SSL/TLS中间人劫持漏洞再掀波澜

【Web漏洞响应】SSL/TLS中间人劫持漏洞再掀波澜

漏洞详情

2015年3月5日晚,Freak Attack,一个新的SSL/TLS漏洞又掀起了一阵波澜,利用该漏洞攻击者可以劫持存在漏洞的客户端与存在漏洞的服务端之间的会话,迫使他们降级使用“出口级”的密钥——一种可被破解的加密技术,从而进行中间人攻击。出口级加密算法是美国政府批准的512位RSAS 密钥。

漏洞危害

https://freakattack.com该网站列出了存在漏洞的网站。目前苹果的Safari浏览器和谷歌的Android浏览器受到影响,以及使用早于1.0.1k版本的OpenSSL的用户。

如何核查是否存在该漏洞

专攻于Web脆弱性安全评估的Web应用漏洞扫描系统(简称WVSS产品),已在漏洞爆出后第一时间内实现此Web漏洞的检测能力,添加了此漏洞检测插件,可使用WVSS产品及早发现漏洞,已有WVSS产品用户可通过更新官网最新的插件库版本,快、准、全扫描发现网站漏洞。

推荐用户应急措施

OpenSSL官方已经在最新的版本中修复了该漏洞。WVSS插件漏洞响应组建议广大用户尽快将服务端更新到最新版的OpenSSL。请到厂商的主页下载,当然,若考虑其它安全加固方式,也可以联系绿盟科技尝试完美的安全解决方案。 OpenSSL 1.0.1用户升级到1.0.1k.

OpenSSL 1.0.0用户升级到1.0.0p.

OpenSSL 0.9.8用户升级到0.9.8zd.

厂商链接:https://www.openssl.org/news/secadv_20150108.txt

备注:

OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

发表评论