OpenSSL軟體基金會(OpenSSL Software Foundation)上周釋出了OpenSSL 1.1.0e以修補一個允許遠端駭客展開阻斷服務攻擊(DoS)的高嚴重性漏洞。
根據OpenSSL的安全通報,在重新進行握手協商時,倘若先加密再雜湊(Encrypt-Then-Mac)並非在原始握手處展開協商,就可能導致OpenSSL當掉,不論是客戶端或伺服器端都會受到影響。
開放源碼的OpenSSL為啟用SSL或TLS等加密協議的加密函式庫,主要用於確保通訊雙方的身分並避免遭到竊聽。在2014年Heartbleed漏洞被揭露後,讓OpenSSL的安全性更受重視,且估計迄今仍有20萬台伺服器或裝置仍未修補該漏洞。
新的DoS漏洞是由紅帽的Joe Orton所提報,只影響OpenSSL 1.1.0,並未波及OpenSSL 1.0.2。