安全

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 安全

“心脏出血”漏洞可导致密码泄露

作者:ZDNet至顶网出处:论坛2016-04-18 05:42

  10日,安全人员又发现了Heartbleed漏洞的踪迹,利用该漏洞的攻击者可获取用户密码,并诱使用户访问伪造的网站。

  PS.

  Heartbleed漏洞(CVE-2014-0160,CNNVD-201404-073)是OpenSSL中的一个重大安全漏洞,2014年4月7号,由国外黑客曝光。该漏洞可以让攻击者获得服务器上64K内存中的数据内容。由于使用OpenSSL的源代码的网站数量巨大,因此该漏洞影响十分严重。

  OpenSSL是一个强大的安全套接字层密码库,包括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。

  漏洞详情

  该漏洞存在于OpenSSL中,可以泄露服务器的内存内容,其中包含大量主机托管数据等敏感信息,如用户名、密码和信用卡号码等。另外,攻击者还可以复制服务器的数字密钥,随后伪造服务器或解密通信。

  安全人员RonaldPrins对雅虎网站进行测试证实,攻击者可以借助Heartbleed漏洞获取用户名和密码。Scott Galloway发表推文称,运行5分钟的Heartbleed代码就可以获取200对雅虎邮箱的用户名和密码。

  解决方案

  雅虎称已在其主网站上修复了该漏洞,其中包括Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr和Tumblr。另外,其安全团队正在其余网站上实现该修复。但是,雅虎还没有为用户提供相关的安全建议。

  加密技术顾问FilippoValsorda研发了一种工具,可供用户在网站中检测Heartbleed漏洞。目前已检测到Google、Microsoft、Twitter、Facebook、Dropbox等主流网站不受该漏洞影响,而有一些网站如Imgur、OKCupid和Eventbrite等受该漏洞影响。

  根据OpenSSL发布的公告,该漏洞影响OpenSSL 1.0.1版本和1.0.2-beta版本,并且已经发布了1.0.1g版本修复该漏洞。网络运营商需要升级该软件,并撤销可能已经被攻击者控制的证书。

相关文章

关键词:Heartbleed, 安全漏洞 ,OpenSSL漏洞,漏洞补丁

责任编辑:容心

网警备案