信息來源:企業(yè)網(wǎng)
OpenSSL項目團隊為其密碼庫發(fā)布補丁以修復(fù)一個嚴重的漏洞(該漏洞可能允許攻擊者解密HTTPS通信),同時強化對Logjam的防御。
解密攻擊漏洞是在OpenSSL處理某些特定情況下DH密鑰交換時發(fā)現(xiàn)的。通常,OpenSSL只使用所謂的“安全”質(zhì)數(shù),但在OpenSSL1.0.2中,生成參數(shù)文件的新方式將重新啟用一個質(zhì)數(shù)。理論上講,攻擊者就可以使用這個值來解密加密的安全通信。
不過有咨詢師指出這種攻擊很難執(zhí)行,因為它需要“攻擊者在同一個人使用相同的DH指數(shù)時完成多個信號交換”。
Micro Focus解決方案架構(gòu)師Garve Hays稱該風(fēng)險是有限的,因為能接觸到主要是提供Forward Secrecy的服務(wù),諸如Gmail、Twitter以及Facebook等。
“好消息是這些企業(yè)勤于打補丁,因而風(fēng)險很快會被控制,”Hays表示?!癋orward Secrecy其協(xié)議特性是不允許用私鑰解密消息。因此當獲取到私鑰時,它并不能用于倒回并恢復(fù)舊有通信?!?
OpenSSL1.0.1不容易遭到這種攻擊,而使用1.0.2版本的用戶需要盡早安裝OpenSSL1.0.2補丁。
新補丁同時添加一些新的特性以進一步降低Logiam攻擊的影響。Logiam可允許中間人攻擊者讓易被攻擊的TLS連接更加脆弱。之前的OpenSSL補丁通過拒絕參數(shù)在768位以下的信息交換來防御該攻擊,新的補丁強化了該協(xié)定,拒絕參數(shù)在1024位以下的信息交換。