Open ssl release patches สำหรับช่องโหว่ https

วิธีเปิดใช้งาน Service SSL สำหรับ Hotspot เพื่อสร้างความน่าเชื่อถือให้ Login (อาจ 2024)

วิธีเปิดใช้งาน Service SSL สำหรับ Hotspot เพื่อสร้างความน่าเชื่อถือให้ Login (อาจ 2024)
Anonim

แฮกเกอร์ในปัจจุบันได้กลายเป็นสมาร์ท คุณให้ช่องโหว่เล็กน้อยกับพวกเขาและพวกเขาใช้ประโยชน์จากมันเพื่อถอดรหัสรหัสของคุณ ในครั้งนี้ความโกรธของแฮ็กเกอร์ได้ลดลงเมื่อ OpenSSL ซึ่งเป็นไลบรารี่การเข้ารหัสโอเพนซอร์ซซึ่งเป็นที่นิยมใช้โดยผู้ให้บริการอินเทอร์เน็ต

วันนี้ OpenSSL ได้ออกชุดข้อมูลแก้ไขสำหรับช่องโหว่หกช่องโหว่แล้ว ช่องโหว่สองรายการนี้ถือว่ารุนแรงมากรวมถึง CVE-2016-2107 และ CVE-2016-2108

CVE-2016-2017 ช่องโหว่ที่รุนแรงทำให้แฮกเกอร์สามารถเริ่มการโจมตีแบบ Padding Oracle Attack Padding Oracle Attack สามารถถอดรหัสการรับส่งข้อมูล HTTPS สำหรับการเชื่อมต่ออินเทอร์เน็ตที่ใช้การเข้ารหัส AES-CBC พร้อมเซิร์ฟเวอร์ที่รองรับ AES-NI

Padding Oracle Attack ทำให้การป้องกันการเข้ารหัสอ่อนลงโดยอนุญาตให้แฮกเกอร์ส่งคำขอซ้ำ ๆ สำหรับเนื้อหาข้อความธรรมดาเกี่ยวกับเนื้อหาของข้อมูลที่เข้ารหัส Juraj Somorovsky ค้นพบช่องโหว่นี้โดยเฉพาะ

Juraj เขียนไว้ในบล็อกโพสต์ สิ่งที่เราได้เรียนรู้จากข้อบกพร่องเหล่านี้คือการแก้ไขไลบรารี crypto เป็นงานที่สำคัญและควรได้รับการตรวจสอบกับการทดสอบทั้งในเชิงบวกและเชิงลบ ตัวอย่างเช่นหลังจากเขียนใหม่ส่วนของรหัสการเติม CBC เซิร์ฟเวอร์ TLS จะต้องได้รับการทดสอบเพื่อการทำงานที่ถูกต้องกับข้อความการขยายที่ไม่ถูกต้อง ฉันหวังว่า TLS-Attacker สามารถใช้งานดังกล่าวได้ครั้งเดียว

ช่องโหว่ที่มีความรุนแรงสูงอันดับสองที่เคยโจมตีไลบรารี OpenSSL เรียกว่า CVE 2016-2018 เป็นข้อบกพร่องที่สำคัญที่ส่งผลกระทบและทำลายหน่วยความจำของมาตรฐาน OpenSSL ASN.1 ที่ใช้สำหรับการเข้ารหัสถอดรหัสและถ่ายโอนข้อมูล ช่องโหว่นี้ทำให้แฮกเกอร์ออนไลน์สามารถเรียกใช้และเผยแพร่เนื้อหาที่เป็นอันตรายผ่านทางเว็บเซิร์ฟเวอร์

แม้ว่าช่องโหว่ CVE 2016-2018 ได้รับการแก้ไขแล้วในเดือนมิถุนายน 2558 แต่ผลกระทบของการอัปเดตความปลอดภัยได้เริ่มปรากฏหลังจาก 11 เดือน ช่องโหว่ที่เฉพาะเจาะจงนี้สามารถถูกโจมตีโดยใช้ใบรับรอง SSL ที่กำหนดเองและของปลอมรับรองโดยหน่วยงานออกใบรับรองอย่างถูกต้อง

OpenSSL ยังได้เปิดตัวแพตช์รักษาความปลอดภัยสำหรับช่องโหว่เล็ก ๆ น้อย ๆ อีกสี่ช่องโหว่ในเวลาเดียวกัน สิ่งเหล่านี้รวมถึงช่องโหว่ล้นสองช่องทางปัญหาหน่วยความจำหนึ่งข้อผิดพลาดและจุดบกพร่องที่มีความรุนแรงน้อยหนึ่งซึ่งส่งผลให้มีการส่งคืนข้อมูลสแต็กโดยพลการในบัฟเฟอร์

อัปเดตความปลอดภัยได้รับการเผยแพร่สำหรับ OpenSSl เวอร์ชัน 1.0.1 และ OpenSSl เวอร์ชัน 1.0.2 เพื่อหลีกเลี่ยงความเสียหายเพิ่มเติมใด ๆ ต่อไลบรารีการเข้ารหัส OpenSSL ผู้ดูแลระบบจะได้รับคำแนะนำให้อัพเดตแพตช์โดยเร็วที่สุด

ข่าวนี้ถูกตีพิมพ์ครั้งแรกในข่าวแฮ็กเกอร์

HTTP และ HTTPS Stand For คืออะไร?

HTTP และ HTTPS Stand For คืออะไร?

สงสัยว่าคำย่อของ HTTP และ HTTPS เป็นอย่างไร เป็นโปรโตคอลเทคโนโลยีที่ทำให้สามารถดูเว็บได้ เรียนรู้เพิ่มเติมเกี่ยวกับความหมายนี้

คู่มือสำหรับการรักษาความปลอดภัยหน้าเว็บด้วย HTTPS

คู่มือสำหรับการรักษาความปลอดภัยหน้าเว็บด้วย HTTPS

การรักษาความปลอดภัยเว็บไซต์ด้วย HTTPS และ SSL ช่วยให้มั่นใจว่าการส่งข้อมูลจะได้รับการเข้ารหัสและปลอดภัย ประโยชน์นี้ไม่เพียง แต่เป็นไซต์อีคอมเมิร์ซ แต่เว็บไซต์ทั้งหมด

Ssl vpn คืออะไรและเหตุใดจึงใช้ ssl vpn

Ssl vpn คืออะไรและเหตุใดจึงใช้ ssl vpn

SSL VPN เป็นโปรโตคอลที่เข้ารหัสข้อมูลและทำให้การไหลของข้อมูลนั้นราบรื่นด้วยเลเยอร์ความปลอดภัยที่เพิ่มขึ้น

ตัวเลือกของบรรณาธิการ