超级军网OpenSSL发现致命漏洞,三分之二互联网沦陷
来源:百度文库 编辑:超级军网 时间:2024/04/30 23:17:22
http://www.ctocio.com/ccnews/15331.html
OpenSSL发现致命漏洞,三分之二互联网沦陷
作者:Cashcow星期三, 四月 9, 2014WEB安全, 互联网, 动态暂无评论
colorful lock
由于互联网基础安全协议OpenSSL的漏洞存在时间较长,波及范围广(超过三分之二互联网站受到影响),攻击简便且不会留下痕迹,其对全球互联网尤其是网络金融和电子商务行业的冲击将难以估量。
研究者近日在互联网安全协议OpenSSL v1.0.1到1.0.1f的密码算法库中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。
OpenSSL是Apache和nginx网络服务器的默认安全协议,此外大量操作系统、电子邮件和即时通讯系统也采用OpenSSL加密用户数据 通讯。而此次发现的bug已经存在两年之久,这意味着攻击者可以利用该bug获取大量互联网服务器与用户之间的数字证书私钥,从而获取用户账户密码等敏感 数据。由于攻击者不会在服务器日志中留下痕迹,因此网站系统管理员将无法得知系统漏洞是否已经被黑客利用,也无从得知用户数据和账号是否已经被黑客扫描获 取并用于未来的网络黑市交易。
据Ars报道,超过三分之二的互联网服务器使用存在漏洞的OpenSSL版本来保护用户账户密码、网银账号等敏感数据。由于漏洞存在时间较长,攻击简便且不会留下痕迹,此次发现的漏洞的影响范围,以及对互联网尤其是网络金融和电子商务行业的冲击将难以估量。
据solidot报道,OpenSSL已经发布了1.0.1g修正bug,Debian发行版也在半小时修复了bug,Fedora发布了一个权宜的修正方案。 该bug是在2011年引入到OpenSSL中,使用OpenSSL 0.9.8的发行版不受影响,但Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影响。如果你运行存在该bug的系统,那么最好废除所有密钥。
修复建议
使用低版本SSL的网站,并尽快按如下方案修复该漏洞:
升级OpenSSL 1.0.1g
使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块
对于普通用户来说,安全牛建议近期尽量避免使用网银等网络支付服务,尽量抽空修改所有关键网银、网购和社交账号密码,并随时留意安全牛的最新报道。http://www.ctocio.com/ccnews/15331.html
OpenSSL发现致命漏洞,三分之二互联网沦陷
作者:Cashcow星期三, 四月 9, 2014WEB安全, 互联网, 动态暂无评论
colorful lock
由于互联网基础安全协议OpenSSL的漏洞存在时间较长,波及范围广(超过三分之二互联网站受到影响),攻击简便且不会留下痕迹,其对全球互联网尤其是网络金融和电子商务行业的冲击将难以估量。
研究者近日在互联网安全协议OpenSSL v1.0.1到1.0.1f的密码算法库中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。
OpenSSL是Apache和nginx网络服务器的默认安全协议,此外大量操作系统、电子邮件和即时通讯系统也采用OpenSSL加密用户数据 通讯。而此次发现的bug已经存在两年之久,这意味着攻击者可以利用该bug获取大量互联网服务器与用户之间的数字证书私钥,从而获取用户账户密码等敏感 数据。由于攻击者不会在服务器日志中留下痕迹,因此网站系统管理员将无法得知系统漏洞是否已经被黑客利用,也无从得知用户数据和账号是否已经被黑客扫描获 取并用于未来的网络黑市交易。
据Ars报道,超过三分之二的互联网服务器使用存在漏洞的OpenSSL版本来保护用户账户密码、网银账号等敏感数据。由于漏洞存在时间较长,攻击简便且不会留下痕迹,此次发现的漏洞的影响范围,以及对互联网尤其是网络金融和电子商务行业的冲击将难以估量。
据solidot报道,OpenSSL已经发布了1.0.1g修正bug,Debian发行版也在半小时修复了bug,Fedora发布了一个权宜的修正方案。 该bug是在2011年引入到OpenSSL中,使用OpenSSL 0.9.8的发行版不受影响,但Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影响。如果你运行存在该bug的系统,那么最好废除所有密钥。
修复建议
使用低版本SSL的网站,并尽快按如下方案修复该漏洞:
升级OpenSSL 1.0.1g
使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块
对于普通用户来说,安全牛建议近期尽量避免使用网银等网络支付服务,尽量抽空修改所有关键网银、网购和社交账号密码,并随时留意安全牛的最新报道。
OpenSSL发现致命漏洞,三分之二互联网沦陷
作者:Cashcow星期三, 四月 9, 2014WEB安全, 互联网, 动态暂无评论
colorful lock
由于互联网基础安全协议OpenSSL的漏洞存在时间较长,波及范围广(超过三分之二互联网站受到影响),攻击简便且不会留下痕迹,其对全球互联网尤其是网络金融和电子商务行业的冲击将难以估量。
研究者近日在互联网安全协议OpenSSL v1.0.1到1.0.1f的密码算法库中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。
OpenSSL是Apache和nginx网络服务器的默认安全协议,此外大量操作系统、电子邮件和即时通讯系统也采用OpenSSL加密用户数据 通讯。而此次发现的bug已经存在两年之久,这意味着攻击者可以利用该bug获取大量互联网服务器与用户之间的数字证书私钥,从而获取用户账户密码等敏感 数据。由于攻击者不会在服务器日志中留下痕迹,因此网站系统管理员将无法得知系统漏洞是否已经被黑客利用,也无从得知用户数据和账号是否已经被黑客扫描获 取并用于未来的网络黑市交易。
据Ars报道,超过三分之二的互联网服务器使用存在漏洞的OpenSSL版本来保护用户账户密码、网银账号等敏感数据。由于漏洞存在时间较长,攻击简便且不会留下痕迹,此次发现的漏洞的影响范围,以及对互联网尤其是网络金融和电子商务行业的冲击将难以估量。
据solidot报道,OpenSSL已经发布了1.0.1g修正bug,Debian发行版也在半小时修复了bug,Fedora发布了一个权宜的修正方案。 该bug是在2011年引入到OpenSSL中,使用OpenSSL 0.9.8的发行版不受影响,但Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影响。如果你运行存在该bug的系统,那么最好废除所有密钥。
修复建议
使用低版本SSL的网站,并尽快按如下方案修复该漏洞:
升级OpenSSL 1.0.1g
使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块
对于普通用户来说,安全牛建议近期尽量避免使用网银等网络支付服务,尽量抽空修改所有关键网银、网购和社交账号密码,并随时留意安全牛的最新报道。http://www.ctocio.com/ccnews/15331.html
OpenSSL发现致命漏洞,三分之二互联网沦陷
作者:Cashcow星期三, 四月 9, 2014WEB安全, 互联网, 动态暂无评论
colorful lock
由于互联网基础安全协议OpenSSL的漏洞存在时间较长,波及范围广(超过三分之二互联网站受到影响),攻击简便且不会留下痕迹,其对全球互联网尤其是网络金融和电子商务行业的冲击将难以估量。
研究者近日在互联网安全协议OpenSSL v1.0.1到1.0.1f的密码算法库中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。
OpenSSL是Apache和nginx网络服务器的默认安全协议,此外大量操作系统、电子邮件和即时通讯系统也采用OpenSSL加密用户数据 通讯。而此次发现的bug已经存在两年之久,这意味着攻击者可以利用该bug获取大量互联网服务器与用户之间的数字证书私钥,从而获取用户账户密码等敏感 数据。由于攻击者不会在服务器日志中留下痕迹,因此网站系统管理员将无法得知系统漏洞是否已经被黑客利用,也无从得知用户数据和账号是否已经被黑客扫描获 取并用于未来的网络黑市交易。
据Ars报道,超过三分之二的互联网服务器使用存在漏洞的OpenSSL版本来保护用户账户密码、网银账号等敏感数据。由于漏洞存在时间较长,攻击简便且不会留下痕迹,此次发现的漏洞的影响范围,以及对互联网尤其是网络金融和电子商务行业的冲击将难以估量。
据solidot报道,OpenSSL已经发布了1.0.1g修正bug,Debian发行版也在半小时修复了bug,Fedora发布了一个权宜的修正方案。 该bug是在2011年引入到OpenSSL中,使用OpenSSL 0.9.8的发行版不受影响,但Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影响。如果你运行存在该bug的系统,那么最好废除所有密钥。
修复建议
使用低版本SSL的网站,并尽快按如下方案修复该漏洞:
升级OpenSSL 1.0.1g
使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块
对于普通用户来说,安全牛建议近期尽量避免使用网银等网络支付服务,尽量抽空修改所有关键网银、网购和社交账号密码,并随时留意安全牛的最新报道。
1、看来又要升级下系统了
2、对普通人来说,等我们知道这些漏洞的时候如果有什么重要的东西早就泄露了
2、对普通人来说,等我们知道这些漏洞的时候如果有什么重要的东西早就泄露了
银联 支付宝 京东都中枪了
目前的应对办法是不要登录,不要进行任何操作
目前的应对办法是不要登录,不要进行任何操作
这炸弹的份量足够重,作为个人用户,唯一能做的是祈祷自己不是高价值目标,没被盯上。
为什么删我帖子
挖坟捏??