|
前不久,才有消息报道说苹果的iOS和OSX系统上发现了被称为“goto fail”错误而造成的 SSL/TLS 安全漏洞。 这不,Red Hat的安全审计发现,广泛使用的安全类库GnuTLS存在漏洞,它无法正确检验特定的伪造SSL证书,因此可被攻击者利用发动中间人攻击,它会将这类伪造证书识别为有效证书。漏洞影响所有版本的GnuTLS,唯一的补救方法是升级到刚刚发布的3.2.12 或3.1.22版,或者是对 2.x 分支应用补丁。 我们知道,GnuTLS 是一个安全通讯库,实现了 SSL、TLS 和 DTLS 协议和相关技术。提供了简单的 C 语言编程接口用来访问这些安全通讯协议,提供解析和读写 X.509、PKCS #12、OpenPGP 和其他相关结构。而它的特点是可移植性和高效,并且安全性是其着重关注点。 而GnuTLS的错误与苹果最近修复的iOS和OSX系统的goto fail SSL证书处理问题相似。 是巧合吗?我们无法判定,但在信息安全上,我们真的已经担惊受怕太多了,由衷地希望不要再出现这样的事件了。 |
