openssl

VMware Fusion 10和Fusion 10 Pro - 其虚拟化软件的最新版本，用于在Mac上运行Windows而不重新启动 - 包括完全支持Windows 10，OS X El Capitan和最新的Retina Macs，以及始终访问 微软Cortana。 它们支持DirectX 10和OpenGL 3.3，图形速度高达65％，兼容USB 3.0和具有不同DPI的多个显示器。 虚拟机平台还提供完整的64位支持，最多可支持16个vCPU，64GB RAM和10TB硬盘，用于单个虚拟机

当地时间12月8日，OpenSSL发布安全通告公布了一个空指针解引用漏洞（CVE-2020-1971），官方评级高危。 漏洞存在于OpenSSL的函数GENERAL_NAME_cmp中，GENERAL_NAME_cmp函数可用来比较GENERAL_NAME的不同实例，以查看它们是否相等。当被比较的两个GENERAL_NAME都包含EDIPartyName时，将触发空指针解引用，造成程序崩溃最终导致拒绝服务

Alpine 3.11.6、3.9.6 和 3.10.5 已发布，三个版本均包含针对 OpenSSL CVE-2020-1967 漏洞的重要安全修复程序，这也是本次更新的主要内容。 根据官方对该漏洞的描述，在 TLS 1.3 握手期间或握手之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会导致崩溃，原因是不正确处理"signature_algorithms_cert" TLS 扩展而引起的空指针引用。 如果从另一方接收到一个无效或未被识别的签名算法，则会发生崩溃

OpenSSL于2022年3月15日发布安全公告，宣布修补了与凭证解析有相关的严重阻断服务攻击(Denial of Service DoS)资安漏洞，建议用户立即进行更新。 该漏洞的编号为CVE-2022-0778，由Google的研究人员Tavis Ormandy提报给OpenSSL。据OpenSSL官方公告，由于解析凭证时用到的BN_mod_sqrt()函数存在一个问题，在某些情况下骇客可以制作恶意凭证，利用该漏洞使目标系统无法提供服务

这是一篇发表已超过三年的旧文，文中的信息可能已经有所发展或是发生改变。 nghttpx 本身并不是一个代理，它只是一个翻译器，因此如果我们需要一个支持 HTTP/2 的正向 HTTPS 代理，可以用一个 HTTP/1.1 的正向代理（如 Squid）和 nghttpx 接在一起实现。使用这样一个 HTTPS 代理，既可以享受 HTTP/2 对多连接的优化（提高客户端和代理服务器之间的连接流畅度），又可以享受外层 TLS 带来的加密和安全

根据其标题，远程 Web 服务器运行的 OpenSSL 版本早于 0.9.8s。此类版本存在以下漏洞： - 存在关于 ECDSA 签名和二进制曲线的错误。曲线在二进制字段上的实现可允许远程未经认证的攻击者通过时序攻击确定私钥材料

Linux基金会宣布了Core Infrastructure Initiative（CII）首批资助的开源基础设施项目：Network Time Protocol、OpenSSH和OpenSSL。 这些缺乏资金的重要开源项目是由CII指导委员会和顾问委员会挑选出来的，指导委员会包括了提供资金的科技企业和利益攸关者，顾问委员会包括了Alan Cox、Matt Green教授、Dan Meredith、Eben Moglen、Bruce Schneier、Ted T’so等知名的内核开发者、安全和法律专家。 CII提供的资金将资助开源项目雇佣全职开发者、进行安全审计等

OpenSSL是一个开源项目，它提供了一个强大的，商业级和全功能的工具包的传输层安全（TLS）和安全套接字层（SSL）协议，也是一个通用的加密库。5月3日，OpenSSL官方发布最新漏洞公告，并发布OpenSSL的最新版本1.0.2h、1.0.1t，此次漏洞公告中共包含了6个安全漏洞修复，其中包含2个高危漏洞。 OpenSSL 在ASN.1结构体解析时存在漏洞可导致内存崩溃，可能被远程利用

前段时间，我把自己所有的邮箱都迁移到FastMail了。同时，也把密码管理切换到LastPass了。本文将介绍一下动机和一些情况，供各位读者参考

OpenSSL 仍在透过先前发生的事件在持续改善不安全的协议与密码。像是 POODLE 风险（CVE-2014-3566）。若继续使用 OpenSSL 这样的不安全功能，可能无法保证网络沟通的安全性