OpenSSL專案小組將於臺灣時間7月9日上午8點釋出OpenSSL 1.0.2和1.0.1的新版修補程式,使用者應該儘速修正。

開發社群OpenSSL專案小組宣布,預計在今年國際標準時間7月9日凌晨0時,釋出OpenSSL 1.0.2d和1.0.1p等新版版本。OpenSSL專案小組表示,此次新版本將修復一個具有高風險(High Severity)的資安漏洞,但該項修補不影響OpenSSL 1.0.0版和0.9.8版。

由於OpenSSL是相當普及的網路加密軟體函式庫,網際網路上資料傳輸都會透過SSL(Secure Sockets Layer,安全插槽層)和TLS(Transport Layer Security,傳輸層安全)加密來提供資料的安全與隱私性。不過,使用OpenSSL作為加密工具的裝置和設備實在太多,包括Apache或是Nginx架設的網站伺服器、郵件伺服器、即時通訊伺服器、VPN(虛擬私有通道)、視訊設備、UTM(整合威脅管理設備)或是防火牆等產品,都可能使用OpenSSL用來確保傳輸安全。不過,有許多使用OpenSSL的嵌入式系統,因為平常漏洞修補更新頻率較低,當出現高風險的漏洞時,便無法即時更新。

但是,OpenSSL在2014年4月爆發Heartbleed(心臟淌血)漏洞,當時,初步估計有60萬臺網路伺服器受影響,2個月後仍有31萬臺網路伺服器未修補該漏洞;甚至於,到了今年4月仍有調查顯示,在全球前2000大企業中,針對公眾提供服務的系統,仍有74%沒有完全修補好該漏洞。這也意味著,OpenSSL雖然是非常普遍使用的加密軟體函式庫,但對後續的軟體更新,速度仍然不夠快。

OpenSSL專案小組並沒有宣布此次修復高風險漏洞的細節,但可以確定的是,因為OpenSSL會影響TLS的傳輸安全,只要有相關的修正,影響範圍都相當廣。而被OpenSSL標記為高風險的資安漏洞,都具備遠端遙控的功能、伺服器可發動DoS(阻斷式服務)攻擊,或者是外洩記憶體資料等特徵。

此次釋出新版1.0.1p版和1.0.2d版,支持目前普遍使用的TLS 1.0版和TLS 1.2版傳輸加密協定。不過,OpenSSL 0.9.8版和1.0.0版則不受此次修補版本釋出的影響。

由於OpenSSL新版釋出的時間是國際標準時間7月9日凌晨0時,國際標準時間接近格林威治時間,與臺灣時差大約有8小時。臺灣使用者可於7月9日上午8點後,上OpenSSL官方網站了解新版修補程式釋出情況。


Advertisement

更多 iThome相關內容