OpenSSL存在旁路攻擊漏洞,光靠攔截手機電磁訊號就能取得金鑰
研究人員發現透過OpenSSL旁路攻擊,截取裝置在電子活動中所產生的各種訊號,例如電磁輻射、功耗變化,甚至是聲音、溫度等變化,從中擷取出金鑰。
2018-08-21
| node.js | OpenSSL | ABI | npm
Node.js 10正式釋出!強化安全、解決原生模組版本破碎化問題
Node.js 10.x提供許多先進的現代加密技術,包括支援Google為行動裝置設計的ChaCha20加密以及Poly1305驗證器演算法,另外,也支援目前網路應用的標準配備AEAD加密。
2018-04-27
| Levchin Prize | OpenSSL | IBM | 密碼學
OpenSSL團隊與IBM科學家Hugo Krawczyk獲密碼學殊榮Levchin獎
Levchin獎從2015年開始,每年舉辦一次,表彰對真實世界系統的加密貢獻卓越的人或團隊,最多就兩組得獎人,每位得獎者除了有獎盃外,還可獲1萬美元的獎金。
2018-01-11
| OpenSSL | 遠端登入 | Windows 10 | 微軟 | 開源
遠端管理好用!微軟決定把OpenSSH放進Windows 10
微軟曾在2015年宣布要以PowerShell來完成Windows對OpenSSH的支援,這次則是直接讓OpenSSH成為Windows 10的內建功能,也被視為是微軟大力擁抱開源社群的成果之一
2017-12-15
| node.js | OpenSSL | HTTP/2 | TLS
Node.js開發者快更新!底層OpenSSL漏洞允許第三方未授權存取
Node.js的HTTP2、TLS模組與底層OpenSSL的漏洞,使駭客可以利用Node.js的TLS或HTTP/2模組,繞過TLS的授權或加密動作傳送資料。
2017-12-14
| Heartbleed | 臭蟲 | OpenSSL
2014年揭露的Heartbleed臭蟲可導致受OpenSSL保護的記憶體資料外洩,曾被稱為網路有史以來最嚴重的臭蟲,當時估計全球有61.5萬個網站或裝置受影響,網路裝置搜尋引擎Shodan指出至今仍有近20萬裝置尚未修補。
2017-01-24
OpenSSL上周釋出OpenSSL 1.1.0C,共修補三項漏洞,其中CVE-2016-7054為高風險的DoS漏洞,存在於採用CHACHA20-POLY1305密碼套件的TLS傳輸,屬堆積緩衝區溢位漏洞,可癱瘓伺服器。
2016-11-14
OpenSSL上周釋出更新,以修補OCSP漏洞,不過更新程式卻衍出兩項新漏洞,其中的CVE-2016-6309漏洞之一屬於重大漏洞,可能導致駭客執行任意程式。
2016-09-27
駭客鎖定該漏洞進行攻擊,當持續傳遞大型OCSP狀態請求擴展時,會耗盡伺服器上的記憶體,造成阻斷服務攻擊。如使用OpenSSL 1.0.1g之前版本沒有特別啟用OCSP則不會受到影響。
2016-09-26
新釋出的版本修補了兩個重大漏洞,其中一個屬「密文填塞」漏洞,能藉由傳遞不同填充內容的加密訊息至伺服器進行驗證,並依據回應內容解密。另一個重大漏洞屬於記憶體毀損漏洞,出現在OpenSSL所使用的ASN.1編碼器中,可允許駭客執行任意程式。
2016-05-04
OpenSSL並未詳細說明這兩個漏洞,但這兩個漏洞分別為嚴重程度第二的高嚴重性(HIGH Severity)漏洞,影響1.0.2版本,另一個則是影響所有版本的低嚴重性(LOW Severity)漏洞。
2016-01-26