OpenSSL明日将发布安全补丁,修复未披露的0day高危漏洞

OpenSSL官方发布漏洞预警,提醒系统管理员做好OpenSSL的升级准备。最新版本OpenSSL将于7月9日(本周四)发布,修复了一个未经披露的高危漏洞。不少安全专家推测,这个高危漏洞将可能是另一个“心脏滴血”。

神秘的高危0day漏洞

OpenSSL是一个广泛使用的开源软件库,它使用SSL和TLS为大多数网站提供加密的互联网连接。

OpenSSL项目团队在本周一宣布,即将发布的OpenSSL加密库新版本1.0.2d和1.0.1p中解决了一个被定位于“高危”的安全漏洞。

关于这个神秘的安全漏洞,除了知道它并不影响1.0.0或0.9.8版本之外,目前还没有更详细的消息。在前天公开的一封邮件列表记录中,开发者Mark J Cox陈述道:

“OpenSSL项目团队宣布即将发布OpenSSL新版本1.0.2d和1.0.1p,这两个新版本将于7月9日发布。值得注意的是,这两个新版本中都修复了一个安全等级评定为“高危”的漏洞。不过,这个漏洞并不影响1.0.0或0.9.8版本。”

OpenSSL官方在发布新版本前发出预警,很可能是为了防止在更新补丁发布给大众之前,黑客利用该漏洞进行攻击。

不少安全专家推测,这个高危漏洞将可能是另一个“心脏滴血(Heartbleed)”漏洞或POODLE漏洞,而这两者曾被认为是最糟糕的TLS/SSL漏洞,直到今天人们认为它们仍然在影响互联网上的网站。

OpenSSL高危漏洞回顾

心脏滴血漏洞:该漏洞去年4月份被发现,它存在于OpenSSL早期版本中,允许黑客读取受害者加密数据的敏感内容,包括信用卡详细信息,甚至能够窃取网络服务器或客户端软件的加密SSL密钥。

POODLE漏洞:几个月后,在古老但广泛应用的SSL 3.0加密协议中发现了另一个被称为POODLE(Padding Oracle On Downgraded Legacy Encryption)的严重漏洞,该漏洞允许攻击者解密加密连接的内容。

OpenSSL在今年3月份的一次更新中修复了一批高严重性的漏洞,其中包括拒绝服务漏洞(CVE-2015-0291),它允许攻击者攻击在线服务并使其崩溃;此外还有FREAK漏洞(CVE-2015-0204),它允许攻击者迫使客户端使用弱加密方式。

时间: 2024-10-10 11:22:25

OpenSSL明日将发布安全补丁,修复未披露的0day高危漏洞的相关文章

IIS曝高危漏洞 安全狗发布完美修复方案

IIS曝高危漏洞,安全狗紧急响应,第一时间更新防护规则,以防御该漏洞攻击,为服务器和网站用户提供实时保护. 在微软发布的2015年4月安全补丁中,修复了HTTP.sys 中一处允许远程执行代码漏洞(CVE-2015-1635).而这个高危漏洞也掀起了网络世界的攻击风暴.据悉,该漏洞利用代码已在国外技术网站Pastebin上公开,黑客只要发送恶意数据包直打安装IIS的服务器,就可导致系统蓝屏崩溃. 这个安全漏洞对服务器系统产生的影响不小,所有安装了IIS 6.0以上版本的Windows Serve

andfix 热补丁修复

andfix 热补丁修复 背景: 我们知道Android在发布新版本后如果发现某个方法有bug时native app是不能像webapp让用户无感知的实现更新代码的,我们必须要提醒用户下载新版本:在这种情况下我们就会希望有一种方法可以实现app的在线热修复: 很多大牛都提到过多种热修复的方法: 1. https://github.com/alibaba/AndFix 2. https://github.com/alibaba/dexposed 3. https://github.com/jaso

weblogic打补丁修复JAVA反序列化漏洞      

之前一篇文章记录部署web代理修复漏洞通过部署web代理来修复JAVA反序列化漏洞,这篇通过打补丁来修复这个漏洞.详见(Doc ID 2075927.1) 系统环境如下所示: OS:Oracle Linux Server release 6.1 64bit Weblogic:10.3.6 具体操作如下步骤所示: 1.备份备份备份 2.一切操作安装补丁README来 2.1 更新PSU 2.2 打补丁 1.备份 做好备份工作,无论是否可以回退,保证有备份 2.上传PSU weblogic补丁上传,

Cordova webapp实战开发:(7)如何通过简单的方法做到,不重新发布APP来修复bug、增加功能、或者躲开苹果的一些严格审核?

到<Cordova webapp实战开发:(6)如何写一个iOS下获取APP版本号的插件?>为止,我们已经大体学会了如何使用Cordova了,那些都是使用Cordova的开发者必备的技能.今天我们要说一下开发者应该具备的一些额外经验,这些经验简单有效,如果希望要更系统更好的方法,那就持续关注本系列文章吧,与敏捷个人一起成长. 本次练习你能学到的 学习如何动态不发布APP来修复bug 学习如何动态增加功能 学习如何躲开苹果的一些严格审核 如何动态不发布APP来修复bug 做过网站的都知道,修复b

CPU漏洞补丁修复导致KeServiceDescriptorTable获取变更

一.前言 2018年元旦,出现的cpu的漏洞,可以在windows环三直接读取内核数据,windows对该漏洞提供补丁,补丁增加了一个页表,对应的内核处理也增加了,接下来我们看下补丁修复的表象以及对KeServiceDescriptorTable获取的变更. 可参考https://bbs.kafan.cn/thread-2112833-1-1.html 二.补丁修复 采用的应该是类似LINUX下的KAISER技术,采用shadow 页表技术,R3,R0用不同的页表,内核地址在R3中只有极少数被映

瑞星发布路由器安全报告 无线路由器安全成高危区

如今,随着移动设备的迅速普及,传统的"一家一网一电脑"的家庭上网模式已被打破,现在的家庭网络中,都普遍存在笔记本电脑.智能手机.Pad.智能电视等多台上网设备,而这些设备要访问网络,就必须通过无线路由器这个入口.但殊不知,我们的这种上网方式改变也大大的颠覆了传统的网络安全模式,以往我们传统的杀毒软件.防火墙以及手机安全软件,都只能单独解决电脑或智能终端方面的安全问题,却无法保护路由器和WiFi网络遭受黑客攻击.在这种情况下,近年来针对移动互联网.无线路由器的攻击案例屡见不鲜,看似欣欣向

php检查漏洞防护补丁-防护XSS,SQL,文件包含等多种高危漏洞

/** * 通用漏洞防护补丁 * 功能说明:防护XSS,SQL,代码执行,文件包含等多种高危漏洞 * Class CheckRequestServer */ class CheckRequestServer { /** * 过滤提交数据正则 * @var array */ protected static $filterUrl = [ 'xss' => "\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|location|type|transfe

网站漏洞修复方案防止SQL注入×××漏洞

SQL注入漏洞在网站漏洞里面属于高危漏洞,排列在前三,受影响范围较广,像asp..net.PHP.java.等程序语言编写的代码,都存在着sql注入漏洞,那么如何检测网站存在sql注入漏洞? SQL注入漏洞测试方法 在程序代码里不管是get提交,post提交,cookies的方式,都可以有随意控制参数的一个参数值,通过使用sql注入工具,经典的sqlmap进行检测与漏洞利用,也可以使用一些国内的SQL代码注入工具,最简单的安全测试方法就是利用数据库的单引号, AND 1=1 AND 1=2等等的

installshield实例(三)发布,补丁,升级

原理: Installshield主要是控制Product Code,Upgrade Code,Package Code(这三个都是GUID,全球唯一的)和Product Version来达到发步,补丁,升级的. Product Code就是该产品的唯一ID,一般不需要改变. Upgrade Code在升级时才需要改变,打补丁不需要改变. Package Code在每次修改发布时都需要改变. 可以参见帮助中“upgrades [Windows Installer]”,其中有幅图详细说明了,补丁和