服务热线:400 - 888 - 0160

 

服务热线:400 - 888 - 0160
  • OpenSSL 发现致命漏洞,三分之二互联网沦陷(1)
  • 发布者:wangd  浏览次数:334
  •         由于互联网基础安全协议OpenSSL的漏洞存在时间较长,波及范围广(超过三分之二互联网站受到影响),攻击简便且不会留下痕迹,其对全球互联网尤其是网络金融和电子商务行业的冲击将难以估量。
     
            研究者近日在互联网安全协议OpenSSL v1.0.1到1.0.1f的密码算法库中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。
     
            OpenSSL是Apache和nginx网络服务器的默认安全协议,此外大量操作系统、电子邮件和即时通讯系统也采用OpenSSL加密用户数据 通讯。而此次发现的bug已经存在两年之久,这意味着攻击者可以利用该bug获取大量互联网服务器与用户之间的数字证书私钥,从而获取用户账户密码等敏感 数据。由于攻击者不会在服务器日志中留下痕迹,因此网站系统管理员将无法得知系统漏洞是否已经被黑客利用,也无从得知用户数据和账号是否已经被黑客扫描获 取并用于未来的网络黑市交易。
     
            据Ars报道,超过三分之二的互联网服务器使用存在漏洞的OpenSSL版本来保护用户账户密码、网银账号等敏感数据。由于漏洞存在时间较长,攻击简便且不会留下痕迹,此次发现的漏洞的影响范围,以及对互联网尤其是网络金融和电子商务行业的冲击将难以估量。
     
            据solidot报道,OpenSSL已经发布了1.0.1g修正bug,Debian发行版也在半小时修复了bug,Fedora发布了一个权宜的修正方案。 该bug是在2011年引入到OpenSSL中,使用OpenSSL 0.9.8的发行版不受影响,但Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影响。如果你运行存在该bug的系统,那么最好废除所有密钥。
     
            修复建议
     
            使用低版本SSL的网站,并尽快按如下方案修复该漏洞:
    升级OpenSSL 1.0.1g
    使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块
    对于普通用户来说,安全牛建议近期尽量避免使用网银等网络支付服务,尽量抽空修改所有关键网银、网购和社交账号密码,并随时留意安全牛的最新报道。

    Contacts

    Contacts44

  • 上一篇:没有了
  • 下一篇:如何发挥网站监控的最大化
  • 地址:北京市海淀区蓝靛厂南路25号牛顿办公区1020~1021室
  • 邮编:100097
  • E-mail:support@underbigroof.com
  • 投诉渠道:
  • 电话:13910380114 (7*24小时)
  • E-mail:contact@underbigroof.com