中国IDC圈7月10日报道,继2014年4月9日爆出OpenSSL心脏出血漏洞,2015年1月8日连续爆发8个高危漏洞之后,7月9日再度爆发高危漏洞,CVE代号为:CVE-2015-1793。该漏洞的成因是OpenSSL在证书验证过程中,第一次连接失败时会尝试寻找一个替代证书,而攻击者可以利用这一点,通过一个中级证书去冒充证书颁发机构来绕过OpenSSL的证书验证。整个问题导致了可以实现中间人攻击,并且可能导致应用程序(如浏览器)把不受信任或者无效的证书标记显示为信任有效,危害十分严重。该漏洞受影响版本为:1.0.2c, 1.0.2b, 1.0.1n 和 1.0.1o。
OpenSSL的主机使用共计38505台,其中受该高危漏洞影响的主机共12498台,占OpenSSL使用总数的32.5%,其中受影响大的地区为广东、北京、香港、浙江和中国台湾。
热门专题
