新OpenSSL中间人漏洞影响所有版本

煎饼

OpenSSL项目披露了多个新安全漏洞，包括允许中间人攻击的漏洞和允许执行代码的漏洞。其中中间人攻击漏洞与ChangeCipherSpec(CCS)实现不正确有关，它在OpenSSL 1998年发布的早期版本中就已经存在，至今已有16年历史，影响目前的所有版本，但严重程度并不高，因为攻击者拦截和解密加密流量需要客户端和服务器端都运行存在漏洞的OpenSSL，而浏览器并不包含OpenSSL。该漏洞的发现者是日本研究员Masashi Kikuchi，他在博客上介绍了发现经过，认为OpenSSL项目存在一个超过16年的漏洞的最主要原因是代码审查不充分，缺乏有经验的TLS/SSL专家。