OpenSSL CVE-2015-1793:中间人攻击

本周初，OpenSSL发布了CVE-2015-1793的漏洞更新包:

这些更新包在7月9日发布，它们将用于修复一个“高危漏洞”。这些漏洞不会影响1.0.0或者 0.9.8版本。--->Forthcoming OpenSSL releases

漏洞细节及修补补丁的具体方法将在下面给出： [attach]75[/attach] 高危漏洞补丁

该补丁修复了一个高危漏洞。由OpenSSL团队出版，详情如下: 在证书验证期间，OpenSSL(1.0.1n到1.0.2b版本)将试图寻找一个证书验证链，如果没有找到，那么OpenSSL又会试图寻找另一个证书验证链。但是在这个逻辑的实现中却存在着一个错误，这个错误将导致攻击者可以使用不受信任的征收绕过检查。比如 CA 标识。这使他们能够使用无效的证书充当证书验证链中的叶子证书，比如 CA 和 "issue"。  ----->OpenSSL Security Advisory [9 Jul 2015]

这种漏洞允许黑客进行“中间人”攻击，并且能让程序在看到无效和不受信任的证书时让应用程序把该无效证书当成有效的。基本上，它可以让没个人都能成为他们自己的证书颁发机构(Certificate Authority.CA)。

这个Bug已被提交到： aae41f8c54257d9fa6904d3a9aa09c5db6cefd0d. [attach]76[/attach] 还提交到了:2aacec8f4a5ba1b365620a7b17fcce311ada93ad. [attach]77[/attach]

该问题确实相当严重，这意味着又它又被修复了一次。
不幸中的万幸是，它只有限地影响部分OpenSSL版本：OpenSSL 1.0.2c，1.0.2b,1.0.1n ,1.0.1o。

受影响的版本和操作系统有哪些？

该漏洞似乎只存在于OpenSSL在2015年6月以后发布的版本中。这貌似让如Linux这一类的系统相对比较安全。因为他们已经有很久没有更新OpenSSL了。
Red Hat，CentOS和Ubuntu完全不会受此漏洞影响，因为在2015年6月没有发布针对这几个系统的版本。

正如Red Hat宣布的：

OpenSSL项目已发布一个重要漏洞补丁（CVE-2015-1793）,该漏洞影响OpenSSL的1.0.1n,1.0.1o,1.0.2b及1.0.2c版本。
上面的那些版本只能用一个月，考虑到Red Hat对重要漏洞的修复和功能选择的谨密政策，OpenSSL没有搭载任意一个上述功能。
Red Hat无需做任何东西去修复或减轻该漏洞（CVE-2015-1793），因为Red Hat不受该影响。

OpenSSL 7月9日安全修复（CVE-2015-1793)。

只是为了安全起见，如果可用，请尽快检查并进行更新。特别是如果你有软件使用了最新的OpenSSL源代码或其它库。 如何打补丁 和往常的补丁一样（参考：heartbleed（https://ma.ttias.be/patch-against-the-heartbleed-openssl-bug-cve-2014-0160/）, CVE-2015-0291) https://ma.ttias.be/openssl-cve-2015-0291-cve-2015-0286/） and CVE-2015-0286），修复一般需要两步，首先你得更新操作系统的各种库。 [attach]78[/attach] 由于是“中间人”攻击，所以建议你重新所有服务或者应用程序连接到的SSL/TLS远程端点。如果有人试图改变你的远程端点的DNS并且把URL指向到自己的服务器，那么，你的程序可能依然会认为它是一个有效的的SSL/TLS流。 原文地址