首页
社区
课程
招聘
“心脏出血”漏洞可导致密码泄露
发表于: 2016-4-13 17:48 1176

“心脏出血”漏洞可导致密码泄露

2016-4-13 17:48
1176
新闻链接:http://www.freebuf.com/news/101417.html
新闻时间:2016-04-13
新闻正文:
10日,安全人员又发现了Heartbleed漏洞的踪迹,利用该漏洞的攻击者可获取用户密码,并诱使用户访问伪造的网站。

FreeBuf 百科

Heartbleed漏洞(CVE-2014-0160,CNNVD-201404-073)是OpenSSL中的一个重大安全漏洞,2014年4月7号,由国外黑客曝光。该漏洞可以让攻击者获得服务器上64K内存中的数据内容。由于使用OpenSSL的源代码的网站数量巨大,因此该漏洞影响十分严重。               

OpenSSL是一个强大的安全套接字层密码库,包括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。   
                    

漏洞详情

该漏洞存在于OpenSSL中,可以泄露服务器的内存内容,其中包含大量主机托管数据等敏感信息,如用户名、密码和信用卡号码等。另外,攻击者还可以复制服务器的数字密钥,随后伪造服务器或解密通信。

安全人员RonaldPrins对雅虎网站进行测试证实,攻击者可以借助Heartbleed漏洞获取用户名和密码。Scott Galloway发表推文称,运行5分钟的Heartbleed代码就可以获取200对雅虎邮箱的用户名和密码。

解决方案

雅虎称已在其主网站上修复了该漏洞,其中包括Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr和Tumblr。另外,其安全团队正在其余网站上实现该修复。但是,雅虎还没有为用户提供相关的安全建议。

加密技术顾问FilippoValsorda研发了一种工具,可供用户在网站中检测Heartbleed漏洞。目前已检测到Google、Microsoft、Twitter、Facebook、Dropbox等主流网站不受该漏洞影响,而有一些网站如Imgur、OKCupid和Eventbrite等受该漏洞影响。

根据OpenSSL发布的公告,该漏洞影响OpenSSL 1.0.1版本和1.0.2-beta版本,并且已经发布了1.0.1g版本修复该漏洞。网络运营商需要升级该软件,并撤销可能已经被攻击者控制的证书。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//