新闻链接：http://tech.ifeng.com/internet/detail_2014_06/06/36692616_0.shtml
   新闻时间：2014年06月06日 09:59
   新闻正文：
凤凰科技讯 北京时间6月6日消息，据科技网站PCWorld报道，一个新发现的OpenSSL漏洞可被用于拦截经过加密的安全套接层(SSL)和安全传输层(TLS)通讯，发动“中间人攻击”。目前该漏洞已经被确认并修复。

该漏洞的追踪标号为CVE-2014-0224。如果服务器OpenSSL库版本号为1.0.1或者更新，那么该漏洞可被用于解密和修改客户端与服务器之间的SSL和TLS流量。

为了完成一次成功的攻击，攻击者首先需要拦截目标客户端和服务器之间的连接。这就需要攻击者处于“中间人”位置，通过侵入路由器或者使用其它方法进入不安全的无线网络。

这一安全漏洞由日本IT咨询公司Lepidum研究员Masashi Kikuchi发现，已经在周四发布的OpenSSL 0.9.8za、1.0.0m、1.0.1h版本中进行了修复。新版软件还修复了三个拒绝服务问题以及一处当OpenSSL库被用于数据安全传输层(DTLS)连接时出现的远程代码执行漏洞。

Kikuchi称，由于OpenSSL能够在TLS握手时不合理地接收更改密钥规格协议(CCS)信息，所以中间人攻击是可能实现的。这些信息标记了未加密流量到加密流量发生的改变，必须在TLS握手期间的具体时间发送出去，但是OpenSSL也能在其它时间段接收到CCS信息。

谷歌高级软件工程师亚当·拉吉里(Adam Langley)在其个人博客的分析报告中称，这一漏洞至少在OpenSSL 0.9.1c版本时就已经存在。该版本在1998年12月发布，也就是说这一漏洞已经至少存在15年了。

OpenSSL开发者在周四发布的安全报告中称，使用OpenSSL的客户端不管使用何种版本，都易遭到攻击，但是服务器只有在运行OpenSSL 1.0.1x、1.0.2-beta1时易于遭到攻击。安全厂商Qualys的SSL实验室负责人伊万·里斯迪克( Ivan Ristic)称，OpenSSL 1.0.1发布于2012年3月，目前大约有24%的SSL服务器使用这一版本。

“好消息是，这种攻击需要中间人，非OpenSSL客户端(IE、Firefox、桌面版Chrome、iOS、Safari等)不会受到影响。尽管如此，所有OpenSSL用户都应该进行升级。”拉吉里称。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！