OpenSSL发布高危漏洞补丁 安全狗提醒及时修复

日前，OpenSSL官方发布漏洞预警，将于7月9日发布最新版本OpenSSL，修复一个未经披露的高危漏洞。昨日（7月9日），OpenSSL发布了OpenSSL 1.0.2b和OpenSSL 1.0.1n两个版本的最新更新，修复了加密协议中的证书伪造问题。安全狗提醒各位用户朋友们，要注意相关漏洞补丁信息及时修复。

     近日，研究人员Adam Langley/David Benjamin (Google/BoringSSL)发现了一枚新的OpenSSL严重安全漏洞。该漏洞的漏洞编号为CVE-2015-1793，是证书验证的逻辑过程中没能正确验证新的且不受信任证书造成的。攻击者可以绕过证书警告，强制应用程序将无效证书当作合法证书使用。

      OpenSSL官方描述这一漏洞为：

      OpenSSL(1.0.1n和1.0.2b以上版本)在证书链验证过程中，如果首次证书链校验失败，则会尝试使用一个其他的证书链来重新尝试进行校验;其实是在证书验证中存在一个逻辑错误，导致对于非可信证书的一些检查被绕过，这直接的后果导致比如使没有CA 签发能力的证书被误判为具有CA签发能力，其进行签发的证书可以通过证书链校验等。

      不少安全专家推测，这个高危漏洞将可能是另一个“心脏滴血（Heartbleed）”漏洞或POODLE漏洞，而这两者曾被认为是最糟糕的TLS/SSL漏洞，直到今天人们认为它们仍然在影响互联网上的网站。

      受影响的OpenSSL版本：1.0.1n  /  1.0.2b  /  1.0.2c  /1.0.1o

      修复方式：

     OpenSSL 1.0.2c/1.0.2b的用户请升级到 1.0.2d

     OpenSSL 1.0.1h/1.0.1o的用户请升级到 1.0.2p

     安全狗再次提醒及时修复漏洞，保障安全！