安全专家发现TLS/SSL保密协议存在致命漏洞

PhoneFactor公司的两名安全专家Marsh Ray与Steve Dispensa近日公开了他们在TLS/SSL安全协议中发现的安全漏洞。TLS (传输层保密协议
Transport Layer Security)以及SSL(Socket层保密协议Secure Sockets Layer)是两个被在线零售商在网络交易过程中广泛使用的安保协议。两位专家本周四在自己的博客上公开了这两个安全协议中的漏洞,Ray今年8月份首次发现了这些漏洞,并于9月初将这些漏洞展示给Dispensa。专家们表示,攻击者可以利用这种漏洞劫持用户的浏览器,并伪装成合法用户。两位专家表示,由于TLS协议中验证服务器及客户机身份的一连串动作中存在前后不连贯的问题,因此便给了攻击者可乘之机。不仅如此,这种漏洞还给攻击者发起Https攻击提供了便利,Https协议是Http与TLS协议的集合体,目前许多在线交易均使用这种协议。据另一位安全专家Chris Paget表示,TLS协议中存在的这种漏洞在SSL协议上
同样存在。发现这一漏洞之后,Ray和Dispensa很快将其报告给了网络安全产业联盟(ICASI),该联盟由思科,IBM,Intel,Juniper,微软以及诺基亚创立。同时他们还将其报告给了Internet工程任务组(
IETF)以及几家开源的SSL项目组织。9月29日,这些团体
经过讨论后决定推出一项名为Mogul的计划,该计划将负责修补这个漏洞,计划的首要任务是尽快推出
新的协议扩展版,以修复该漏洞。Ray称他
预计近期各大厂商便会将此事的处理结果作出公开声明,并出台临时的解决办法。

时间: 2024-09-13 04:53:29

安全专家发现TLS/SSL保密协议存在致命漏洞的相关文章

安全专家发现 Uber 可免费打车的漏洞,但别高兴太早

    最近,据外媒报道,Uber上存在一个安全漏洞,只要是发现这一漏洞的任何用户都可以在全球各地免费乘坐Uber后直接走人.不过,那些想着利用漏洞逃单的人不用高兴,现在 Uber 已经成功修复了这一漏洞. 这一漏洞是在2016年8月被发现的,但是直至本周才被公之于众. 去年 8 月,电脑安全专家阿南德·普拉卡什(Anand Prakash)首先发现了这一漏洞,并通过 Uber 公司的"漏洞赏金"项目告知对方.Uber 在获悉该情况后,立即组织安全专家普拉卡什等人在美国和印度两地对该漏

[WCF安全系列]实例演示:TLS/SSL在WCF中的应用[SSL over TCP]

在接下来的系列文章中我们正是讨论关于身份认证的主题.在前面我们已经谈到了,WCF中的认证属于"双向认证",既包括服务对客户端的认证(以下简称客户端认证),也包括客户端对服务的认证(以下简称服务认证).客户端认证和服务认证从本质上并没有什么不同,无非都是被认证一方提供相应的用户凭证供对方对自己的身份进行验证.我们先来讨论服务认证,客户端认证放在后续的文章中. 在<从两种安全模式谈起>中,我们对TLS/SSL进行了简单的介绍.我们知道,客户端和服务在为建立安全上下文而进行的协商

[WCF安全系列]实例演示:TLS/SSL在WCF中的应用[HTTPS]

上一篇演示的是绑定类型为NetTcpBinding情况下基于TLS/SSL的Transport安全模式的实现,接下来我们改用另外一种绑定:WS2007HttpBinding.对于基于HTTP的绑定,Transport安全模式的实现方式又根据寄宿方式的不同而具有一定的差异,我们首先来介绍自我寄宿的方式. 一.自我寄宿(Self-Hosting) 无论对于HTTPS还是SSL Via TCP,服务端都需要绑定一个证书.对于采用后者的NetTcpBinding,我们是通过ServiceCredenti

国外专家发现“最严重移动通信安全漏洞” 所有手机无法幸免

近日,有国外安全专家发现了一个"史上最严重移动通信安全漏洞". 这是一个堆溢出漏洞,一旦有攻击者利用这种漏洞,几乎所有的手机都无法幸免,并且移动网络基础设计如基站等,也将被一并控制. 据了解,该堆溢出漏洞广泛存在于移动通信使用的代码库中,此库由Objective Systems开发,用于实现电话标准ASN.1. 该代码库设计的产品颇多,包括基站.路由器.交换机和手机基带芯片等都使用了这个代码库. 经证实,此次发现的漏洞可以远程触发,无需任何验证方式.并且成功利用这个漏洞就可以让攻击者在

golang简单实现一个基于TLS/SSL的 TCP服务器和客户端

本篇文章介绍一下使用TLS/SSL创建安全的TCP通信,首先我们要准备一个数字证书和一个密钥关于如何产生密钥,请看下面文章: Author: 岳东卫 Email: usher.yue@gmail.com 通过Openssl创建数字证书和密钥 TLS服务器端代码 TLS客户端代码 通过Openssl创建数字证书和密钥 关于如何通过Openssl创建证书和私钥 TLS服务器端代码 package main import ( "crypto/rand" "crypto/tls&qu

stunnel 4.43发布 提供全局TLS/SSL服务

stunnel 4.43该版本Win32 http://www.aliyun.com/zixun/aggregation/9511.html">OpenSSL的DLL更新到版本1.0.0e.此版本修复Win32配置文件重新载入.FORK和UCONTEXT线程模型进行了纠正和彻底的测试.主要性能优化进行日志记录子系统. Stunnel是一个自由的跨平台软件,用于提供全局的TLS/SSL服务.针对本身无法进行TLS或SSL通信的客户端及服务器,Stunnel可提供安全的加密连接.该软件可在许多

stunnel 4.38发布 提供全局TLS/SSL服务

Stunnel是一个自由的跨http://www.aliyun.com/zixun/aggregation/14734.html">平台软件,用于提供全局的TLS/SSL服务.针对本身无法进行TLS或SSL通信的客户端及服务器,Stunnel可提供安全的加密连接.该软件可在许多操作系统下运行,包括Unix-like系统,以及Windows.Stunnel依赖于某个独立的库,如OpenSSL或者SSLeay,以实现下面的TLS或SSL协议. stunnel 4.38更新日志:Server N

XEN虚拟机监控器出现“致命”漏洞

XEN一向以高性能.占用资源少著称,赢得了IBM.AMD.HP.Red Hat和Novell等众多世界级软硬件厂商的高度认可和大力支持,不少国内外企事业用户用XEN来搭建高性能的虚拟化平台.然而,XEN近期被指出一个"致命"漏洞. 来自Quarkslab的安全专家Jérémie Boutoille说,他已经在Xen虚拟机监控器上发现了一个关键漏洞,该漏洞会导致潜在的权限提升风险. 使用x86硬件的半虚拟化(PV)用户需要注意:该漏洞版本已确定为CVE-2016-6258,并且能够影响X

以黑客教主之名,TK 发现了 Windows 史上最大漏洞

有没有发觉,昨晚电脑突然被后台占用大量的带宽,导致网速变慢.这是Windows又在进行一次大规模的漏洞补丁更新.其中有两个高危漏洞,对windows95到windows10都会产生影响,几乎可以被认为是史上影响最广泛的windows漏洞. 可成功利用率非常高 这两个漏洞的发现者是"黑客教主"TK(TombKeeper),即腾讯玄武实验室创建者于旸.他将漏洞命名为"Bad Tunnel".Windows计划授予其5万美元的奖金. 以黑客教主之名,TK 发现了 Wind