“心臟出血”漏洞可導(dǎo)致密碼泄露

責(zé)任編輯:editor005

作者:vul_wish

2016-04-14 15:07:33

摘自:FreeBuf.COM

10日,安全人員又發(fā)現(xiàn)了Heartbleed漏洞的蹤跡,利用該漏洞的攻擊者可獲取用戶密碼,并誘使用戶訪問偽造的網(wǎng)站。安全人員RonaldPrins對雅虎網(wǎng)站進(jìn)行測試證實(shí),攻擊者可以借助Heartbleed漏洞獲取用戶名和密碼。

10日,安全人員又發(fā)現(xiàn)了Heartbleed漏洞的蹤跡,利用該漏洞的攻擊者可獲取用戶密碼,并誘使用戶訪問偽造的網(wǎng)站。

FreeBuf 百科

Heartbleed漏洞(CVE-2014-0160,CNNVD-201404-073)是OpenSSL中的一個(gè)重大安全漏洞,2014年4月7號,由國外黑客曝光。該漏洞可以讓攻擊者獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容。由于使用OpenSSL的源代碼的網(wǎng)站數(shù)量巨大,因此該漏洞影響十分嚴(yán)重?!       ?/p>

OpenSSL是一個(gè)強(qiáng)大的安全套接字層密碼庫,包括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協(xié)議,并提供豐富的應(yīng)用程序供測試或其它目的使用?! ?br />         

漏洞詳情

該漏洞存在于OpenSSL中,可以泄露服務(wù)器的內(nèi)存內(nèi)容,其中包含大量主機(jī)托管數(shù)據(jù)等敏感信息,如用戶名、密碼和信用卡號碼等。另外,攻擊者還可以復(fù)制服務(wù)器的數(shù)字密鑰,隨后偽造服務(wù)器或解密通信。

安全人員RonaldPrins對雅虎網(wǎng)站進(jìn)行測試證實(shí),攻擊者可以借助Heartbleed漏洞獲取用戶名和密碼。Scott Galloway發(fā)表推文稱,運(yùn)行5分鐘的Heartbleed代碼就可以獲取200對雅虎郵箱的用戶名和密碼。

解決方案

雅虎稱已在其主網(wǎng)站上修復(fù)了該漏洞,其中包括Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr和Tumblr。另外,其安全團(tuán)隊(duì)正在其余網(wǎng)站上實(shí)現(xiàn)該修復(fù)。但是,雅虎還沒有為用戶提供相關(guān)的安全建議。

加密技術(shù)顧問FilippoValsorda研發(fā)了一種工具,可供用戶在網(wǎng)站中檢測Heartbleed漏洞。目前已檢測到Google、Microsoft、Twitter、Facebook、Dropbox等主流網(wǎng)站不受該漏洞影響,而有一些網(wǎng)站如Imgur、OKCupid和Eventbrite等受該漏洞影響。

根據(jù)OpenSSL發(fā)布的公告,該漏洞影響OpenSSL 1.0.1版本和1.0.2-beta版本,并且已經(jīng)發(fā)布了1.0.1g版本修復(fù)該漏洞。網(wǎng)絡(luò)運(yùn)營商需要升級該軟件,并撤銷可能已經(jīng)被攻擊者控制的證書。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號