又乙個「心臟滴血」 OpenSSL將發布安全補丁

openssl官方發布漏洞預警，提醒系統管理員做好openssl的公升級準備。最新版本openssl將於7月9日(本周四)發布，修復了乙個未經披露的高危漏洞。不少安全專家推測，這個高危漏洞將可能是另乙個「心臟滴血」。

神秘的高危0day漏洞

openssl是乙個廣泛使用的開源軟體庫，它使用ssl和tls為大多數**提供加密的網際網路連線。

openssl專案團隊在本周一宣布，即將發布的openssl加密庫新版本1.0.2d和1.0.1p中解決了乙個被定位於「高危」的安全漏洞。

關於這個神秘的安全漏洞，除了知道它並不影響1.0.0或0.9.8版本之外，目前還沒有更詳細的訊息。在前天公開的一封郵件列表記錄中，開發者mark j cox陳述道：

「openssl專案團隊宣布即將發布openssl新版本1.0.2d和1.0.1p，這兩個新版本將於7月9日發布。值得注意的是，這兩個新版本中都修復了乙個安全等級評定為「高危」的漏洞。不過，這個漏洞並不影響1.0.0或0.9.8版本。」

openssl官方在發布新版本前發出預警，很可能是為了防止在更新補丁發布給大眾之前，黑客利用該漏洞進行攻擊。

不少安全專家推測，這個高危漏洞將可能是另乙個「心臟滴血(heartbleed)」漏洞或poodle漏洞，而這兩者曾被認為是最糟糕的tls/ssl漏洞，直到今天人們認為它們仍然在影響網際網路上的**。

openssl高危漏洞回顧

心臟滴血漏洞：該漏洞去年4月份被發現，它存在於openssl早期版本中，允許黑客讀取受害者加密資料的敏感內容，包括信用卡詳細資訊，甚至能夠竊取網路伺服器或客戶端軟體的加密ssl金鑰。

poodle漏洞：幾個月後，在古老但廣泛應用的ssl 3.0加密協議中發現了另乙個被稱為poodle(padding oracle on downgraded legacy encryption)的嚴重漏洞，該漏洞允許攻擊者解密加密連線的內容。