最新OpenSSL漏洞CCS注入及升级修复

作者: 云计算机网 分类: 云安全 发布时间: 2015-02-26 22:10
说明:此漏洞是openssl小组于2014-5-1日提出的,并且与6月2日联系红帽子以及其他衍生版本,并且与6月5日告知大众!The OpenSSL team was notified about this issue on May 1, 2014, and contacted Red Hat and other OS distributions on June 2, 2014. This issue was made public on June 5, 2014.OpenSSL再爆新漏洞:可用于“中间人”攻击相关媒体报道:http://news.zol.com.cn/459/4590770.htmlhttp://internet.voc.com.cn/512088/683588264695b.shtmlhttp://digi.163.com/14/0606/09/9U1VJJIQ00162OUT.html相关链接:http://www.oschina.net/news/52530/openssl-ccs-injectionhttps://access.redhat.com/site/articles/904433(OpenSSL CCS Injection Vulnerability (CVE-2014-0224) Alert)漏洞描述:OpenSSL 的 ChangeCipherSpec 处理再报严重安全漏洞,该漏洞使得攻击者可以拦截恶意中间节点加密和解密数据,同时迫使使用弱密钥的SSL客户端暴露在恶意节点。当软件使用OpenSSL的受影响版本,通过网页浏览、电子邮件和VPN进行内容和身份验证等加密通讯时会有篡改的风险。受影响的版本包括:OpenSSL 1.0.1 through 1.0.1gOpenSSL 1.0.0 through 1.0.0lall versions before OpenSSL 0.9.8y未影响版本:OpenSSL 1.0.1hOpenSSL 1.0.0mOpenSSL 0.9.8za#############################################本系统为CentOS 5升级openssl:OpenSSL最新地址:http://www.openssl.org/source/openssl-1.0.1h.tar.gz查看openssl版本#openssl versionOpenSSL 0.9.8e-fips-rhel5 01 Jul 2008如果需要zlib库支持,可以装上!yum install -y zlib安装最新版本:wget http://www.openssl.org/source/openssl-1.0.1h.tar.gztar xvzf openssl-1.0.1h.tar.gz./config shared zlib #支持zlib压缩与解压缩,并创建共享库makemake installmv /usr/bin/openssl /usr/bin/openssl.bakmv /usr/include/openssl /usr/include/openssl.bakln -s /usr/local/ssl/bin/openssl /usr/bin/opensslln -s /usr/local/ssl/include/openssl /usr/include/opensslecho “/usr/local/ssl/lib” >> /etc/ld.so.confldconfig -v检查版本:# openssl versionOpenSSL 1.0.1h 5 Jun 2014升级完毕!
  • 【赛迪网-IT技术讯】网络黑客会利用各种热门话题,设置陷阱,诱使用户点击恶意链接或下载恶意程序。

    最近3D《肉蒲团》等电影吸引了很多网友的注意,网络黑客当然不会放过这个机会。

    卡巴斯基实验室近期截获到大量伪装成该电影视频、BT下载以及播放器的恶意程序。

    其中有一种名为“杀软克星”的木马程序(Trojan.Win32.AntiAV.nte),专门用于攻击计算机上安装的反病毒软件。

    该木马采用Delphi编写,并且添加了大量垃圾代码,故意将文件体积增大,防止被云安全客户端捕获,同时也可以让用户误以为该文件就是视频文件。

    运行后,会查询进程名中是否包含360、DSMain、ZhuDongFangYu、k、advutils、Dump、procmgrex、Kill,如果有则删除对应进程的Tcp连接,阻止这些进程连接网络。

    而对浏览器的相关进程则放行,其目的是让用户可以正常上网,同时阻止安全软件访问网络。

    这样,计算机上的安全软件就瘫痪了,其他恶意程序就可以任意肆虐,盗取用户的各种数据。

    提醒广大网民,不要轻易相信网络上的所谓大片下载,以免感染恶意程序造成损失。

    (责任编辑:admin)

  • 相关推荐:

  • 恶意程序伪装成最新3D电
  • 劲爆关于诺基亚9PureVie
  • 微软最新Windows1020H1的版
  • WindowsServer2016配置指南之
  • OneForumSQL的注射漏洞及其
  • PrePrintingPressproduct_desc.
  • 一起呀团购网绕过权限漏
  • PREPRINTINGSTUDIOSql注入漏洞
  • 分析ASPClassifiedsSql注射漏
  • Specto本地文件包的漏洞分
  • 网站内容禁止违规转载,转载授权联系中国云计算网