传NSA长期利用Heartbleed漏洞 NSA否认

2016年10月21日 9 阅读

BI中文站 4月12日据一些媒体的消息称，多年以来，NSA（美国国家安全局）一直在利用“Heartbleed（心脏出血）”这一巨大的安全漏洞来收集互联网用户的信息。相关阅读：OpenSSL TLS心跳读远程信息泄露漏洞 （CVE-2014-0160） http://www.linuxidc.com/Linux/2014-04/99741.htmOpenSSL严重bug允许攻击者读取64k内存，Debian半小时修复 http://w...

DNS攻击原理与防范

2016年10月21日 9 阅读

随着网络的逐步普及，网络安全已成为INTERNET路上事实上的焦点，它关系着INTERNET的进一步发展和普及，甚至关系着INTERNET的生存。可喜的是我们那些互联网专家们并没有令广大INTERNET用户失望，网络安全技术也不断出现，使广大网民和企业有了更多的放心，下面就网络安全中的主要技术作一简介，希望能为网民和企业在网络安全方面提供一个网络安全方案参考。 DNS的工作原理 DNS分为Client和Server，Client扮演发问的角色，也就是问...

许多设备永远都不会修复Heartblee心脏出血漏洞

2016年10月21日 9 阅读

本文为作者 Tom Simonite 发表在 TechnologyReview 网站上的《Many Devices Will Never Be Patched to Fix Heartbleed Bug》一文，主要通过讲述 OpenSSL 漏洞一事提起了许多联网设备因为缺乏必要的安全管理和软件更新，可能永远都无法修复这一安全漏洞，看似不会造成威海，但却存在非常高的安全风险。相关阅读：OpenSSL TLS心跳读远程信息泄露漏洞 （CVE-2014-0160...

【OpenSSL】Heartbleed漏洞源码分析

2016年10月21日 9 阅读

OpenSSL？Heartbleed漏洞？还在为此而恐慌？淡定，淡定！当您了解了漏洞的原理之后，您就不会再为之此而恐惧，或者说您看完之后就会更加理智的去对待这个漏洞。 本文首先介绍了什么是Heartbleed漏洞，接着从openssl源码的角度分析了该漏洞，最后总结我们从中可以吸取什么经验教训。相关阅读：OpenSSL TLS心跳读远程信息泄露漏洞 （CVE-2014-0160） http://www.linuxidc.com/Linux/2014-04/...

Linux Kernel随机内存指针间接引用拒绝服务漏洞

2016年10月21日 10 阅读

发布日期：2014-04-11更新日期：2014-04-14受影响系统：Linux kernel描述：--------------------------------------------------------------------------------BUGTRAQ ID: 66775CVE（CAN） ID: CVE-2014-2739Linux Kernel是Linux操作系统的内核。Linux kernel的cma req处理程序在解析pas...

CyaSSL多个安全漏洞

2016年10月21日 9 阅读

发布日期：2014-04-09更新日期：2014-04-14受影响系统：CyaSSL CyaSSL < 2.9.4描述：--------------------------------------------------------------------------------BUGTRAQ ID: 66780CyaSSL是针对嵌入系统开发人员的小型的便携嵌入式SSL编程库。CyaSSL 2.9.4之前版本在实现上存在空指针间接引用、越界内存读取、...

IOServer越界读取漏洞（CVE-2014-0777）

2016年10月21日 9 阅读

发布日期：2014-04-10更新日期：2014-04-15受影响系统：ioserver ioserver <= 1.0.20描述：--------------------------------------------------------------------------------BUGTRAQ ID: 66761CVE（CAN） ID: CVE-2014-0777IOServer是运行在Windows上的工业控制软件，包含内置Web服务器...

奥巴马以国家安全为由允许NSA使用0day漏洞

2016年10月21日 9 阅读

《纽约时报》报导（中文）， 奥巴马以国家安全为由允许NSA使用部分0day漏洞。美国政府高级官员上周六表示，奥巴马总统介入了美国情报机构内部的激烈争论，并且决定，如果国家安全局（National Security Agency，简称NSA）发现网络安全存在重要漏洞，大多数情况下就应该公开信息，确保漏洞获得修复，而不是保持沉默，以便利用这些漏洞开展间谍活动或 网络攻击。所谓的0day漏洞是此前未知也未修复的漏洞。NSA官员及军方的美国网络战司令部官员警告称，...

Heartbleed测试网站在数小时内被窃走私钥

2016年10月21日 9 阅读

OpenSSL Heartbleed漏洞的危险程度被安全专家称为是“灾难级”，攻击者能利用该漏洞窃走受影响网站的用户密码和私钥，此前的研究发现用户明文密码确实会暴露，但窃取私钥尚未有报道。相关阅读：OpenSSL TLS心跳读远程信息泄露漏洞 （CVE-2014-0160） http://www.linuxidc.com/Linux/2014-04/99741.htmOpenSSL严重bug允许攻击者读取64k内存，Debian半小...

TrueCrypt审计初步显示没有后门或恶意代码

2016年10月21日 9 阅读

iSEC公布了加密软件TrueCrypt第一阶段的安全审计报告，初步分析显示TrueCrypt没有发现含有后门或其它故意加入的恶意代码的证据。TrueCrypt是流行的加密软件，但从未进行过安全审计，在NSA大规模监控活动曝光之后安全研究人员发起了对TrueCrypt的完整安全审计，iSEC负责此次审计。研究人员在代码中发现了一些小的漏洞——例如TrueCrypt使用的迭代次数是1000或2000，不足以保护密码抵抗暴力破解攻击&m...

vSphere Client任意文件下载漏洞（CVE-2014-1209）

2016年10月21日 9 阅读

发布日期：2014-04-11更新日期：2014-04-15受影响系统：VMWare vSphere Client 5.x VMWare vSphere Client 4.x描述：--------------------------------------------------------------------------------BUGTRAQ ID: 66772CVE（CAN） ID: CVE-2014-1209VMware vCenter是VM...

vtiger CRM密码重置安全限制绕过漏洞

2016年10月21日 9 阅读

发布日期：2014-04-10更新日期：2014-04-15受影响系统：vtiger vtiger CRM 6.0vtiger vtiger CRM描述：--------------------------------------------------------------------------------BUGTRAQ ID: 66757CVE（CAN） ID: CVE-2014-2269vtiger CRM是免费的开源客户关系管理软件。vtige...

F5 ARX Series NTP拒绝服务及GnuTLS欺骗漏洞

2016年10月21日 9 阅读

发布日期：2014-04-14更新日期：2014-04-15受影响系统：F5 ARX Series 6.x描述：--------------------------------------------------------------------------------CVE（CAN） ID: CVE-2013-5211F5 ARX系列是智能文件虚拟化解决方案。F5 ARX Series 6.0.0-6.4.0版本内使用的网络时间协议NTP的monlis...

vtiger CRM远程代码执行漏洞

2016年10月21日 9 阅读

发布日期：2014-04-10更新日期：2014-04-15受影响系统：vtiger vtiger CRM 6.0vtiger vtiger CRM描述：--------------------------------------------------------------------------------BUGTRAQ ID: 66758CVE（CAN） ID: CVE-2014-2268vtiger CRM是免费的开源客户关系管理软件。vtige...

Adobe Reader for Android多个任意代码执行漏洞

2016年10月21日 10 阅读

发布日期：2014-04-14更新日期：2014-04-15受影响系统：Adobe Reader for Android描述：--------------------------------------------------------------------------------BUGTRAQ ID: 66798Adobe Reader for Android是Android 和iOS 设备（包括iPad 和iPhone）上使用的免费Adobe Re...

OpenSSL “Heartbleed”心脏流血漏洞升级方法

2016年10月21日 9 阅读

网上随便一搜 OpenSSL Heartbleed 会看到几万个相关的内容。影响的，不仅仅的是网银，很多通过OpenSSL加密的安全链路都有一定的风险，因此，最好尽快升级所有其的OpenSSL。如RedHat系统自带的OpenSSL是0.9.8的版本，没有注册的用户，都无法通过yum自动升级到最新的1.0.1g版本。不过，天无绝人之路，我们可以通过源码来手动更新，不需要卸载原来的OpenSSL。相关阅读：OpenSSL TLS心跳读远程信息泄露漏洞 （CV...

OpenSSL 必死无疑，永远不会有改善

2016年10月21日 9 阅读

OpenSSL软件包大概有30万行代码，这意味着其中可能仍然存在着大约299个bug，现在就是心脏出血的bug — 这使得几乎任何人都可以检查其通常无权被访问的内部状态 — 它已经被修复了.这的确是所有你需要知道的，但你也得清除，这不会让我消停下来，是不？理论上要确保一个计算机网络连接的安全并不真的很艰难. 首先你可以让技术过硬的密码学专家设计一些加密的构造块. 你将会需要一个好的散列功能，一个好的对称加密算法，以及一个好的非对称加...

VMware Player及Workstation本地拒绝服务漏洞（CVE-2014-2384）

2016年10月21日 9 阅读

发布日期：2014-04-11更新日期：2014-04-16受影响系统：VMWare Workstation 10.0.1 build-1379776VMWare Player v6.0.1 build-1379776描述：--------------------------------------------------------------------------------BUGTRAQ ID: 66784CVE（CAN） ID: CVE-2014...

ZyXEL NBG-419N路由器多个安全漏洞

2016年10月21日 9 阅读

发布日期：2014-04-11更新日期：2014-04-16受影响系统：ZyXEL NBG-419N 1.00（BFQ.6）C0描述：--------------------------------------------------------------------------------BUGTRAQ ID: 66794CVE（CAN） ID: CVE-2014-0353,CVE-2014-0354,CVE-2014-0355,CVE-2014-03...

Oracle Java SE远程安全漏洞（CVE-2014-2428）

2016年10月21日 11 阅读

发布日期：2014-04-15更新日期：2014-04-16受影响系统：Oracle Java SE Java SE Embedded 7u51Oracle Java SE Java SE 8Oracle Java SE Java SE 7u51Oracle Java SE Java SE 6u71描述：-----------------------------------------------------------------------------...