OpenSSL 高危漏洞允许攻击者解密 HTTPS 流量

jopen 9年前

OpenSSL的维护者修复了一个高危漏洞, 该漏洞允许攻击者能获得解密HTTPS等加密流量的密钥。漏洞的潜在影响虽然严重,但需要满足多个条件才能被利用: 漏洞只存在于OpenSSL 1.0.2中;依靠OpenSSL的应用程序必须配置使用基于DSA的group去生成基于Diffie Hellman密钥交换的临时密钥。在默认情况下它将容易受到密钥恢复攻击。OpenSSL的维护者接到报告两周之内释出了新版1.0.2f,推荐使用OpenSSL 1.0.2的用户升级到新版。此外,最新版本还将拒绝密钥长度短于1,024 bits的DH密钥协商。



来自: http://www.oschina.net//news/70408/openssl-risk-vulnerabilities