OpenSSL 再爆严重安全漏洞 —— CCS 注入

这次bug是由日本程序员Masashi Kikuchi发现的，他在公司技术博客中翔实说明了技术细节：http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html 令人担忧的是，这个bug已经存在16年之久。从细节中还能看出OpenSSL的开发和审核者对协议本身似乎并不十分熟悉。
OpenSSL 的 ChangeCipherSpec 处理再报严重安全漏洞，该漏洞使得攻击者可以拦截恶意中间节点加密和解密数据,同时迫使使用弱密钥的SSL客户端暴露在恶意节点。

当软件使用OpenSSL的受影响版本，通过网页浏览、电子邮件和V*N进行内容和身份验证等加密通讯时会有篡改的风险。

受影响的版本包括：

• OpenSSL 1.0.1 through 1.0.1g

• OpenSSL 1.0.0 through 1.0.0l

• all versions before OpenSSL 0.9.8y

未影响版本：

• OpenSSL 1.0.1h

• OpenSSL 1.0.0m

• OpenSSL 0.9.8za