快速浏览
≡核心技术社区≡
『Windows 11 专区』
『Windows 10 专区』
『秋无痕原创作品发布』
『Windows 8 | 8.1 专区』
『WINDOWS 7 专区』
『Linux 系统讨论专区』
『Windows XP 专区』
『WINDOWS Vista 专区』
『WINDOWS Server 专区』
≡网络共享社区≡
『Apple(苹果)资源共享区』
『Android(安卓)资源共享区』
『精品软件下载区』
『秋无痕IT资讯区』
『美化资源交流区』
『软件使用交流区』
『硬件使用交流区』
『系统安全综合区』
≡休闲娱乐社区≡
『无痕茶座』
『靓图共赏』
『影视交流』
『天籁之音』
『心情文学』
『无痕商场』
≡站务管理中心≡
『论坛管理』
≡PHPwind Board≡
登录
注册
游客
帖子:
今日:
我的主题
我的回复
我的收藏
好友近况
首页
搜索
社区服务
每日签到
帮助
设为首页
网址导航
常用软件
优惠券网
银行
邀请注册
勋章中心
道具中心
UID超市
社区论坛任务
基本信息
到访IP统计
管理团队
管理操作
在线会员
会员排行
版块排行
帖子排行
推荐排行
fresh
『秋无痕IT资讯区』
『心情文学』
『Windows 10 专区』
『硬件使用交流区』
『Windows 11 专区』
『系统安全综合区』
秋无痕论坛
»
『系统安全综合区』
»
“心脏出血”漏洞续:三分之一服务器完成修补
秋无痕淘宝天猫优惠券网
秋无痕常用软件全功能装机光盘 2023年金秋版
秋无痕一键优化Windows 10专版
秋无痕一键优化Windows 11专版
秋无痕论坛官方QQ群
获取无痕币和提高等级
上一主题
下一主题
新 帖
主题 : “心脏出血”漏洞续:三分之一服务器完成修补
使用道具 |
复制链接
|
浏览器收藏
|
打印
加为好友
hexj9
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主
作者资料
发送短消息
UID:
998
精华:
0
发帖:
605035
威望:
529375 点
无痕币:
8 WHB
贡献值:
0 点
在线时间: 62282(时)
注册时间:
2008-12-25
最后登录:
2024-05-02
0
发表于: 2014-04-12 12:54|
请将IE368导航设置为首页,支持论坛
只看楼主
|
小
中
大
0
“心脏出血”漏洞续:三分之一服务器完成修补
网络安全协议OpenSSL被曝存在高危漏洞,在网站和安全厂商的协作下,三分之一受影响的网站已完成修复,使众多网友陷入恐慌的“心脏失血”正趋于可控。
新华网北京4月10日电(记者邓中豪 南婷 程士华)4月8日,常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞,众多使用https的网站均受影响,大量用户信息陷于“裸奔”,引发网民恐慌。记者采访了解到,在网站和安全厂商的协作下,三分之一受影响的网站已完成修复,使众多网友陷入恐慌的“心脏失血”正趋于可控。
互联网被曝“心脏出血”
4月8日,网络安全协议OpenSSL被曝存在堪称“心脏出血”的高危漏洞。
据了解,SSL是一种加密技术,可以保护用户通过互联网传输的隐私信息。据悉,目前多数SSL加密的网站都是用名为OpenSSL的软件包,此次OpenSSL被曝的漏洞可以让攻击者获得服务器上64K内存中的数据,其中可能包括安全证书、用户名和密码等敏感信息。
关于此次漏洞的严重性,北京知道创宇信息技术有限公司研究部总监余弦表示,OpenSSL协议常用于安全性极高的网站,此漏洞一旦被恶意利用,用户登陆这些电商、网银的账户、密码等关键信息都将面临泄露风险。
余弦告诉记者,大量使用https的网站将受到影响,而且越是知名的大网站,越容易受到不法分子攻击。监测发现,在中国境内的160余万台服务器中,有33303台受到这一漏洞影响,尽管占比不大,但这3万多台服务器分布在支付类接口系统、大型电商网站、即时通讯系统和邮箱这些最重要的网络服务器中,其影响范围包括常用的网银及诸多知名网站,微信、支付宝、陌陌等均在其列。
面对此次被称为“心脏出血”的高危漏洞,中国计算机学会计算机安全专业委员会主任严明说,这个漏洞是地震级别的,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。
业内人士:部分信息已经被窃
南京翰海源信息技术有限公司创始人方兴表示,此漏洞并不是因为算法被攻破,而是由于程序员在设计时没有做长度检查而产生漏洞,其危害性不容小觑。
余弦告诉记者,该漏洞并不一定导致用户数据泄露,因为该漏洞只能从内存中读取64K的数据,而重要信息正好落在这个可读取的64K中的几率并不大,但是攻击者可以不断批量地去获取最新的64K记录,这样就可以得到尽可能多的用户隐私信息。一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
余弦坦言,问题在于这个漏洞出现于2012年,至今两年多,谁也不知道是否已经有黑客利用漏洞获取了用户资料;该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄露信息。
目前看来,该漏洞确已被很多黑客利用。网络安全领域资深人士透露,由于OpenSSL漏洞的出现,在8日、9日地下交易市场中,各种兜售非法数据的交易显得异常火爆,比如一份某省工程类人员的信息数据,清晰显示出大量人员的姓名、身份证号码等。北京知道创宇信息技术有限公司首席执行官杨冀龙说,目前的监测显示,某宝的网站被黑客盗取了1T的内存,雅虎(33.4,-1.47,-4.22%)邮箱的大量账户密码也曝已经泄露。
三分之一服务器完成修补
面对“地震级”漏洞,各网站和安全厂商均采取紧急措施,目前整体形势已趋于可控。
知道创宇公司持续在线监测情况显示,大部分公司已有所行动,如360、百度(150.97,-6.71,-4.26%)等公司在升级OpenSSL,微信已暂停SSL服务,有的网站为规避风险,干脆暂停全部服务。
据了解,截至9日晚,国内12305铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。
知道创宇公司工作人员表示,由于这些大的互联网厂商和运营商服务器比较多,他们一修补,我国受到影响的服务器三分之一已完成了修补,整体情况趋于可控。
杨冀龙建议,在相关网站升级修复前,建议暂且不要登陆网购、网银账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。对于一些已经完成升级的网站,用户应当尽快登陆网站更改自己的密码等重要信息。
专家指出,即使用户之前登陆的网站发生泄密,因为黑客掌握的账号密码的数量庞大,短时间内无法消化使用,所以对于单个用户而言尽快更改密码设置是非常必要的。但是,对于一些邮箱类网站,即使更改密码可能也无济于事,因为如果黑客已经偷走了cookie缓存,用这个可以直接登录邮箱。建议用户对邮箱再登陆一次,然后点击退出登陆,减少风险。
来自:
评分选定
顶端
回复
引用
评分
分享
加为好友
cnbeta
级别: 八片秋叶
作者资料
发送短消息
UID:
86166
精华:
0
发帖:
3810
威望:
56465 点
无痕币:
329 WHB
贡献值:
0 点
在线时间: 116(时)
注册时间:
2009-10-01
最后登录:
2024-04-30
1
发表于: 2014-04-12 13:13|
请将IE368导航设置为首页,支持论坛
只看该作者
|
小
中
大
这漏洞名真得感觉很不好听
来自:
评分选定
顶端
回复
引用
评分
分享
加为好友
rrll
级别: 九滴秋露
作者资料
发送短消息
UID:
55460
精华:
0
发帖:
70952
威望:
51692 点
无痕币:
18932 WHB
贡献值:
666 点
在线时间: 26280(时)
注册时间:
2008-10-01
最后登录:
2019-05-12
2
发表于: 2014-04-12 13:16|
请将IE368导航设置为首页,支持论坛
只看该作者
|
小
中
大
部分已修复,呵呵。
来自:
评分选定
顶端
回复
引用
评分
分享
加为好友
hexj9
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主
作者资料
发送短消息
UID:
998
精华:
0
发帖:
605035
威望:
529375 点
无痕币:
8 WHB
贡献值:
0 点
在线时间: 62282(时)
注册时间:
2008-12-25
最后登录:
2024-05-02
3
发表于: 2014-07-26 09:13|
请将IE368导航设置为首页,支持论坛
只看该作者
|
小
中
大
这个我就看看了哦。
来自:
评分选定
顶端
回复
引用
评分
分享
上一主题
下一主题
秋无痕论坛
»
『系统安全综合区』
http://bbs.realqwh.cn
访问内容超出本站范围,不能确定是否安全
继续访问
取消访问
Total 0.035266(s) query 4, Time now is:05-02 18:12, Gzip enabled
粤ICP备07514325号-1
Powered by
PHPWind
v7.3.2
Certificate
Code © 2003-13
秋无痕论坛