請注意!來自OpenSSL的緊急安全警告:OpeonSSL出現“Heartbleed”安全漏洞。這一漏洞讓任何人都能讀取系統的運行內存。目前已經有了一個緊急補丁,在安裝它之前,成千上萬的服務器都處於危險之中。
這個新發現的bug讓黑客能夠讀取服務器的密碼,監控服務器的數據流,甚至可以假扮成服務器。更恐怖的是,這是一個很老的bug:可以追溯到兩年前,目前也並不清楚最先發現它的是誰。
OpenSSL在開發者世界之外並不為人所知,但有三分之二的網絡服務器依賴它的軟件。突然爆出這樣的漏洞,服務器管理者們幾乎都忙於修補。目前Yahoo已經暴露,專家呼籲用戶避開自己的賬號,直到Yahoo升級服務器。
這個bug由Google研究人員Neel Mehta發現,它允許用戶從服務器運行的內存當中隨機截取64K。這有點像釣魚,黑客不知道哪些數據是有用的,不過由於這一過程可以不斷重複,敏感數據的洩漏仍存在巨大風險,特別是服務器的密鑰,它們需要一直在運行內存當中,而且很容易識別。這進而能讓黑客能夠監控服務器的數據流,並有可能破解加密數據。
Apple、Google和Microsoft,還有主要的網絡銀行,目前看來未受影響。 Yahoo則比較不幸,洩露了很多用戶憑證。 Yahoo表示核心站點目前已經修復,其它站點仍在進行當中。
目前,由開發者Filippo Valsorda開的一個網站提供抽樣調查來發現哪些服務器沒有修補。已經修補的服務器也需要使用新SSL證書,從而使黑客無法使用洩露的密碼。
這個bug將帶來怎樣的改變目前還太早去知曉,儘管很多網站基礎設施依賴OpenSSL,但開源的它受到的資助不足,一些專家就建議多給它一些捐助以幫助應對“Heartbleed”這種漏洞。
資料來源:雷鋒網
請按此登錄後留言。未成為會員? 立即註冊