4月9日,据科技博客网站TechCrunch报道,过去两年来,被许多企业和服务用来加密数据的安全协议OpenSSL一直存在一个漏洞,黑客可以利用该漏洞从服务器内存中窃取64KB数据。64KB数据量并不大,但黑客可以重复利用该漏洞,多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。更糟糕的是,即使修正了这一漏洞,但用户并不清楚自己的服务器此前是否曾遭到攻击。用户可以淘汰原有的密钥,但这只能保护用户未来不会受到利用该漏洞的攻击。安全研究人员尼古拉斯·韦弗(Nicholas Weaver)表示,“我认为,未来一年内仍然会有大量服务器存在该漏洞,漏洞不会得到及时修正。”雅虎在一份声明中表示,“最近,一个名为Heartbleed的漏洞被发现影响许多使用OpenSSL的平台,其中包括我们的平台。得知这一消息后,我们立即着手修正这一漏洞。我们的团队已经成功地在公司主要服务中采取了恰当的修正措施,目前正在修正存在于其他服务中的这一漏洞。我们一直致力于为全球用户提供尽可能安全的体验,我们将不断努力,确保用户数据的安全。”编者注:用户可使用下面这个网址来检查自己的网站是否存在该漏洞。http://possible.lv/tools/hb/?domain=www.linuxidc.com
OpenSSL 的详细介绍:请点这里
OpenSSL 的下载地址:请点这里相关阅读:OpenSSL TLS心跳读远程信息泄露漏洞 (CVE-2014-0160) http://www.linuxidc.com/Linux/2014-04/99741.htmOpenSSL严重bug允许攻击者读取64k内存,Debian半小时修复 http://www.linuxidc.com/Linux/2014-04/99737.htmOpenSSL “heartbleed” 的安全漏洞 http://www.linuxidc.com/Linux/2014-04/99706.htm通过OpenSSL提供FTP+SSL/TLS认证功能,并实现安全数据传输 http://www.linuxidc.com/Linux/2013-05/84986.htmOpenSSL TLS心跳读远程信息泄露漏洞 (CVE-2014-0160)OpenSSL 发现致命漏洞,三分之二互联网沦陷相关资讯 OpenSSL漏洞
- OpenSSL doapr_outch函数拒绝服务 (今 21:21)
- OpenSSL crypto/x509/x509_vfy.c拒 (09月27日)
- OpenSSL dtls1_preprocess_ (09月25日)
| - OpenSSL statem/statem.c拒绝服务 (09月27日)
- OpenSSL 证书消息越界读取漏洞(CVE (09月25日)
- OpenSSL DTLS拒绝服务漏洞(CVE- (09月25日)
|
本文评论 查看全部评论 (0)
易网时代-编程资源站