OpenSSL 发布多个更新版本,修复 DoS 漏洞

OpenSSL 发布了更新版本 —— 1.0.2a, 1.0.1m, 1.0.0r 和 0.9.8zf ,这些版本主要是定位 12 个缺陷,但并非所有 OpenSSL 版本都受这些问题影响。

这 12 个漏洞中最严重的是 CVE-2015-0291 ,该漏洞可导致 DoS 拒绝服务攻击,这个漏洞只影响 OpenSSL 1.0.2 分支。

如果客户端连接到一个使用 OpenSSL 1.0.2 的服务器上,并使用无效的签名算法扩展进行再次协商,那么将会触发一个删除空指针的问题,详情请看 OpenSSL 项目的 安全建议

OpenSSL 项目成员 Mark Cox 在其博客解释到:攻击者可以利用这个漏洞来进行拒绝服务攻击。不过存在该漏洞的目标数量有限,因为 OpenSSL 1.0.2 刚发布一个月,很多服务器并没有使用这个版本。

OpenSSL 同时维护了多个不同的主要版本,OpenSSL 1.0.1 的用户如果不需要一些新特性的话,无需升级到 1.0.2 版本,因为 1.0.1 版本也在继续维护中。

Source: pcadvisor

相关链接

微软警告:非法SSL证书或引发“钓鱼”攻击

3月18日消息,最近,微软在TechNet上公布了一则对于非法发放的SSL证书警告,称该证书有可能引起攻击者采用欺骗内容执行钓鱼攻击或者“中间人”攻击。 该证书目前被发放到live.fi。

这一事件将影响包括Win7/Win8.1以及WP8.1在内的所有Windows系统。不过用户也不必担心,微软已经着手更新全部Windows操作系统的证书信任列表(CTL),目前该事件风险等级较低。

微软在其官方说明中提到:一项关于撤销证书的自动更新已经启动,涉及Windows Vista、Windows7、Windows8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2008和Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2,以及所有运行Windows Phone 8和Windows Phone 8.1的手机设备。涉及这些系统和设备的用户无需主动采用任何防御措施,系统将被自动保护。SSL证书,chinassl

不过,这一事件仍然会有一个潜在威胁,那就是目前仍然运行Windows Server 2003的服务器或者已经关闭自动更新的系统。在这两种情况下,用户有可能会遭受攻击。这部分用户应该手动安装KB3046310补丁来预防严重事件发生。(Source:TechNet)

网站需要安装SSL服务器证书要怎么申请?

当我们制作商城网站、电子商务网站,往往都会为用户们提供在线支付通道,为了保证用户们输入的信息不被人窃取、泄露、被篡改,这个时候就有必要申请安装一个SSL服务器数字证书,它能有效的保户用户输入信息的安全。

但是SSL证书要怎么在网站服务器进行申请和安装呢?下面由中国证书CHINASSL.NET详细给您讲解:

一、首先要生成CSR文件
http://www.chinassl.net/csr/

CSR 就是Certificate Secure Request证书请求文件。这个文件是由申请人制作,在制作的同时,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器 上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一般APACHE等,使用OPENSSL命令行来生成KEY+CSR2个文件,Tomcat,JBoss,Resin等使用 KEYTOOL来生成JKS和CSR文件,IIS通过向导建立一个挂起的请求和一个CSR文件。

二、把CSR文件提交到中国证书CHINASSL官方网站

将CSR提交给中国证书CHINASSL,中国证书CHINASSL一般有3种认证方式:

1、域名认证,一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名 称;

2、企业组织认证,需要提供企业的营业执照。一般需要5-7个工作日。

3、企业增强认证,也称做扩展验证,这种证书叫EV SSL证书,EV SSL证书可以使IE7以上的浏览器地址栏变成绿色,认证比较严格,认证时间比较长,一般需要7-15个工作日。

三、证书的安装

在 收到中国证书CHINASSL颁发的SSL证书后,可以将证书部署上服务器,一般APACHE文件直接将KEY+CER复制到文件上,然后修改 HTTPD.CONF文件;TOMCAT 等,需要将CA签发的证书CER文件导入JKS文件后,复制上服务器,然后修改SERVER.XML;IIS需要处理挂起的请求,将CER文件导入。

以上三个步骤是SSL证书的申请与安装,是做商城网站与第三方支付平台都需要为用户们考虑的一个安全性问题。