openssl漏洞（openssl101漏洞）

OpenSSL漏洞的基本信息

使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码等敏感的信息。对于一个安全协议来说，这样的安全漏洞是非常严重的，但该漏洞并不一定导致用户数据泄露。

具体而言，OpenSSL漏洞是指在OpenSSL软件中存在的一系列安全缺陷，这些缺陷可能导致攻击者通过网络利用漏洞来获取敏感信息、篡改数据或执行其他恶意行为。这些漏洞可能源自代码错误、设计缺陷或其他安全问题，导致OpenSSL在处理加密数据或验证证书时出现错误。

协议漏洞：由于OpenSSL实现的协议本身存在缺陷，攻击者可能利用这些缺陷来绕过安全措施或触发错误处理机制，从而获取敏感信息或执行未授权的操作。例如，某些版本中的SSL/TLS协议实现可能存在漏洞，使得攻击者能够嗅探或篡改通信内容。实现漏洞：OpenSSL代码中的错误可能导致攻击者绕过某些安全机制。

心脏滴血漏洞:OpenSSL中的一个漏洞如何导致安全危机

Heartbleed（“心脏滴血”）是OpenSSL在2014年4月暴露openssl漏洞的一个漏洞；它出现在数千个网络服务器上openssl漏洞 ，包括那些运行像雅虎这样openssl漏洞的主要网站的服务器。OpenSSL是实现传输层安全（Transport Layer Security， TLS）和安全套接字层（Secure Sockets Layer， SSL）协议的开放源代码库。

关于CVE-2014-0160，即OpenSSL心脏滴血漏洞，主要影响openssl漏洞了OpenSSL 0.1版本0.1g之前的版本。漏洞在于其TLS和DTLS实现处理心跳扩展数据包时存在问题，攻击者可以利用这一漏洞，通过发送特定数据包促使目标进程内存中的敏感信息溢出，例如私钥等，这被称为心跳错误。

“心脏滴血 ”漏洞影响的OpenSSL版本在0.1及之前的g版本中，TLS和DTLS实现无法正确处理心跳扩展数据包。攻击者可通过构造数据包，从进程内存中获取敏感信息，如读取与d1_both.c和t1_lib.c相关的私钥，这类情况被称为心跳错误。

将受影响的服务器下线，避免它继续泄露敏感信息。停止旧版的 openssl 服务，升级 openssl 到新版本，并重新启动。生成新密钥。（因为攻击者可能通过漏洞获取私钥。）将新密钥提交给openssl漏洞你的CA ，获得新的认证之后在服务器上安装新密钥。服务器上线。撤销旧认证。撤销现有的会话cookies。

什么是openSll漏洞呢?

OpenSSL漏洞是一种安全漏洞，存在于OpenSSL软件中，可能导致攻击者利用该漏洞获取敏感信息或执行恶意操作。OpenSSL是一个开源的加密库，广泛应用于各种网络服务中，用以保护数据传输的安全。然而，由于编程缺陷或其他原因，OpenSSL可能会存在漏洞。

OpenSSL ，一个广泛应用于互联网网页服务器的安全通信工具包，近日被发现存在多个严重安全漏洞，包括远程代码执行漏洞和拒绝服务漏洞。这些漏洞编号分别为CVE-2022-1292和CVE-2022-1473 ，威胁着网络通信的安全性。OpenSSL的广泛使用使其成为了黑客的潜在目标。

OpenSSL是实现传输层安全（Transport Layer Security， TLS）和安全套接字层（Secure Sockets Layer， SSL）协议的开放源代码库。该漏洞意味着恶意用户可以很容易地欺骗易受攻击的web服务器发送敏感信息，包括用户名和密码。

OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711

年 8 月 24 日，OpenSSL 发布了修复高危漏洞的版本 OpenSLL 1l，该漏洞编号为 CVE-2021-3711，打分为 1 ，属于严重漏洞。此漏洞影响 OpenSSL 1l 及之前的所有包含 SM2 商密算法版本，部分基于 OpenSSL 改造的商用国密算法版本也可能受此影响。

通过分析，发现SaltStack存在多个高危漏洞，包含CVE-2021-2528252825283。其中，CVE-2021-25281与未授权访问相关，涉及对SSH方法的权限认证处理存在漏洞。具体来说，salt/salt/netapi/init.py：NetapiClient.run（）方法通过getattr动态调用NetapiClient类中的方法，并接收可控制参数。

公司项目做等保，扫描出了这个漏洞 DES和Triple DES 信息泄露漏洞（CVE-2016-2183）做为高危漏洞，那是必须要修复的，这个漏洞也是第一次接触，就很费功夫。