linux openssl漏洞

OpenSSL 官方发布漏洞预警，提醒系统管理员做好 OpenSSL 的升级准备。最新版本 OpenSSL 将于 7 月 9 日（本周四）发布，修复了一个未经披露的高危漏洞。不少安全专家推测，这个高危漏洞将可能是另一个“心脏滴血”。

神秘的高危 0day 漏洞

OpenSSL 是一个广泛使用的开源软件库，它使用 SSL 和 TLS 为大多数网站提供加密的互联网连接。

OpenSSL 项目团队在本周一宣布，即将发布的 OpenSSL 加密库新版本 1.0.2d 和 1.0.1p 中解决了一个被定位于“高危”的安全漏洞。

关于这个神秘的安全漏洞，除了知道它并不影响 1.0.0 或 0.9.8 版本之外，目前还没有更详细的消息。在前天公开的一封邮件列表记录中，开发者 Mark J Cox 陈述道：

“OpenSSL 项目团队宣布即将发布 OpenSSL 新版本 1.0.2d 和 1.0.1p，这两个新版本将于 7 月 9 日发布。值得注意的是，这两个新版本中都修复了一个安全等级评定为“高危”的漏洞。不过，这个漏洞并不影响 1.0.0 或 0.9.8 版本。”

OpenSSL 官方在发布新版本前发出预警，很可能是为了防止在更新补丁发布给大众之前，黑客利用该漏洞进行攻击。

不少安全专家推测，这个高危漏洞将可能是另一个“心脏滴血（Heartbleed）”漏洞或 POODLE 漏洞，而这两者曾被认为是最糟糕的 TLS/SSL 漏洞，直到今天人们认为它们仍然在影响互联网上的网站。

OpenSSL 高危漏洞回顾

心脏滴血漏洞：该漏洞去年 4 月份被发现，它存在于 OpenSSL 早期版本中，允许黑客读取受害者加密数据的敏感内容，包括信用卡详细信息，甚至能够窃取网络服务器或客户端软件的加密 SSL 密钥。

POODLE 漏洞：几个月后，在古老但广泛应用的 SSL 3.0 加密协议中发现了另一个被称为 POODLE（Padding Oracle On Downgraded Legacy Encryption）的严重漏洞，该漏洞允许攻击者解密加密连接的内容。

OpenSSL 在今年 3 月份的一次更新中修复了一批高严重性的漏洞，其中包括拒绝服务漏洞（CVE-2015-0291），它允许攻击者攻击在线服务并使其崩溃；此外还有 FREAK 漏洞（CVE-2015-0204），它允许攻击者迫使客户端使用弱加密方式。