此漏洞并不影响SSL / TLS证书,也不影响OpenSSL 1.1.0之前的版本。
上个月,OpenSSL项目团队发布了安全补丁1.1.0e,修复OpenSSL 1.1.0中的“高”严重性安全漏洞。版本1.0.2不受影响。因此,各大系统管理员应该立即修补OpenSSL的框架。
什么是OpenSSL?
OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
OpenSSL的功能?
OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库、应用程序以及密码算法库。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。
作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
辅助功能
BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供API的复杂性也降低了很多。
OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。
OpenSSL还提供了其它的一些辅助功能,如从口令生成密钥的API,证书签发和管理中的配置文件机制等等。如果你有足够的耐心,将会在深入使用OpenSSL的过程慢慢发现很多这样的小功能,让你不断有新的惊喜。
此错误并不会影响SSL / TLS证书。所以不需要改动任何与SSL / TLS证书相关的操作。
Encrypt-Then-Mac重新协商崩溃(CVE-2017-3733)
基本上,当客户端和服务器重新协商握手时,如果使用Encrypt-Then-Mac扩展并不是原始协商的一部分,或者Encrypt-Then-Mac扩展是原始握手的一部分,被省略的重新协商,这可能会导致您的OpenSSL 1.1.0实例崩溃(取决于使用的密码组),影响服务器和客户端。
有什么影响?
此漏洞似乎只存在于OpenSSL 1.1.0版本中。如果您正在运行OpenSSL版本1.0.2的实例,则不会受到影响。
我该怎么办?
管理员应将其OpenSSL 1.1.0的实例更新为1.1.0e。OpenSSL加密和SSL / TLS工具包提供了所有OpenSSL补丁的源代码 。
注意:该错误不会影响OpenSSL1.0.2版本。OpenSSL版本1.0.1,1.0.0和0.9.8不再受支持,不接收安全更新。
保持OpenSSL实例安全
OpenSSL继续确保OpenSSL框架保持强大的功能和安全性。这要求OpenSSL团队保持警惕,以便可以在攻击者找到漏洞发起攻击前先发现漏洞并修补。
领取优惠
提交成功!