近日，研究人員Adam Langley/David Benjamin (Google/BoringSSL)發(fā)現了一枚新的OpenSSL嚴重安全漏洞。該漏洞的漏洞編號為CVE-2015-1793，是證書驗證的邏輯過程中沒能正確驗證新的且不受信任證書造成的。攻擊者可以繞過證書警告，強制應用程序將無效證書當作合法證書使用。

目前OpenSSL已發(fā)布了OpenSSL 1.0.2b和OpenSSL 1.0.1n兩個版本的最新更新，修復了加密協議中的證書偽造問題。

OpenSSL官方對于這一漏洞的描述為：

OpenSSL(1.0.1n和1.0.2b以上版本)在證書鏈驗證過程中，如果首次證書鏈校驗失敗，則會嘗試使用一個其他的證書鏈來重新嘗試進行校驗;其實是在證書驗證中存在一個邏輯錯誤，導致對于非可信證書的一些檢查被繞過，這直接的后果導致比如使沒有CA 簽發(fā)能力的證書被誤判為具有CA簽發(fā)能力，其進行簽發(fā)的證書可以通過證書鏈校驗等。

受影響的OpenSSL版本

1.0.1n

1.0.2b

1.0.2c

1.0.1o

修復方式

OpenSSL 1.0.2c/1.0.2b的用戶請升級到 1.0.2d

OpenSSL 1.0.1h/1.0.1o的用戶請升級到 1.0.2p

OpenSSL系列高危漏洞

心臟滴血漏洞：該漏洞去年4月份被發(fā)現，它存在于OpenSSL早期版本中，允許黑客讀取受害者加密數據的敏感內容，包括信用卡詳細信息，甚至能夠竊取網絡服務器或客戶端軟件的加密SSL密鑰。

POODLE漏洞：幾個月后，在古老但廣泛應用的SSL 3.0加密協議中發(fā)現了另一個被稱為POODLE(Padding Oracle On Downgraded Legacy Encryption)的嚴重漏洞，該漏洞允許攻擊者解密加密連接的內容。

FREAK漏洞：該漏洞是今年3月份被發(fā)現，是一種新型的SSL/TLS漏洞，漏洞編號為CVE-2015-0204。它能讓黑客輕松解密網站的私鑰和加密密碼、登錄cookie，以及其他HTTPS傳輸的機密數據(比如賬號、密碼)。