綽號為“心臟出血(Heartbleed)” 的OpenSSL高危漏洞影響瞭三分之二的Web服務。OpenSSL是目前最流行的開源加密庫和TLS協議實現,是Apache和nginx Web server默認使用的加密庫,數據顯示66%的網站運行Apache和nginx Web服務器。Heartbleed bug是代碼中缺少邊界檢查導致的,利用它攻擊者事實上可以繞過TLS保護,直接從處理OpenSSL進程的計算機內存中獲取加密密鑰和用戶密碼等敏感信息。
安全研究人員稱,即使受影響Web服務安裝瞭最新的OpenSSL補丁,他們仍然可能容易受到攻擊,因為攻擊者有可能已經竊取到瞭數字證書的私鑰和用戶的密碼等網站登錄驗證信息, 互聯網公司可能需要撤銷所有暴露的私鑰,重新發行新的密鑰,讓所有會話密鑰和會話cookies失效。Amazon Web Services、雅虎、Tumblr、GitHub、BitSight Technologies和密碼管理公司LastPass等企業都表示在給OpenSSL軟件打上最新的補丁。雅虎的發言人說,該公司團隊已對雅虎的主要屬性成功進行瞭適當的修正。安全研究人員Mark Loman在Yahoo Mail上的演示顯示,他可以輕松利用一個開源工具獲取Yahoo Mail的明文用戶密碼。
Orignal From: 互聯網公司緊急修正OpenSSL高危漏洞
沒有留言:
張貼留言
注意:只有此網誌的成員可以留言。