日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

“心臟出血(Heartbleed)”O(jiān)penSSL漏洞震驚了整個(gè)安全市場(chǎng)，如今，它的影響已經(jīng)超出理論上的危險(xiǎn)程度：有兩家企業(yè)報(bào)告稱他們已經(jīng)因?yàn)樵撀┒炊馐芄粽吖簟?/p>

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供蘄春網(wǎng)站建設(shè)、蘄春做網(wǎng)站、蘄春網(wǎng)站設(shè)計(jì)、蘄春網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、蘄春企業(yè)網(wǎng)站模板建站服務(wù)，十載蘄春做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

英國(guó)的一家育兒網(wǎng)站Mumsnet表示，他們最早聽(tīng)說(shuō)Heartbleed漏洞是在4月10日，也就是該漏洞曝光后的第三天，他們立即對(duì)所有服務(wù)器進(jìn)行了測(cè)試。一旦檢測(cè)出易受攻擊的情況，Mumsnet網(wǎng)站就立即采用OpenSSL的修補(bǔ)版本，但是就在4月11日，攻擊者還是成功利用該漏洞訪問(wèn)了Mumsnet網(wǎng)站用戶的賬戶數(shù)據(jù)。

上周末，Mumsnet網(wǎng)站決定強(qiáng)制其所有用戶重新設(shè)置了登陸信息，盡管Mumsnet并不確認(rèn)有人把利用Heartbleed漏洞用于惡意目的。

Mumsnet表示：“攻擊者一旦利用了該漏洞，他就可以登陸你的賬號(hào)，瀏覽你的歷史記錄、個(gè)人信息、注冊(cè)信息等，盡管目前我們還沒(méi)有證據(jù)證明有用戶的賬戶信息被用于惡意目的，也不確定Mumsnet網(wǎng)站的哪些用戶受到該漏洞的影響。而最糟糕的情況是，攻擊者已經(jīng)訪問(wèn)了Mumsnet網(wǎng)站的所有用戶的賬戶數(shù)據(jù)。這也是我們要求所有用戶重置密碼的原因。”

另外，加拿大稅務(wù)局(CRA)在一份聲明中表示，有人利用Heartbleed漏洞，將大約900名納稅人的社會(huì)保險(xiǎn)號(hào)碼從系統(tǒng)中刪除。其實(shí)，CRA在得知Heartbleed漏洞后就暫停了其網(wǎng)上稅務(wù)申報(bào)服務(wù)，但還是為時(shí)已晚。

CRA在應(yīng)用了Heartbleed漏洞補(bǔ)丁并測(cè)試其系統(tǒng)安全性以后，于上周日重新推出了在線服務(wù)，但是CRA表示，漏洞的修補(bǔ)工作還會(huì)繼續(xù)。

CRA稱：“我們目前正在分析其它的數(shù)據(jù)信息，有一些涉及到企業(yè)的數(shù)據(jù)可能也已經(jīng)被刪除了。盡管進(jìn)行了嚴(yán)格的控制，我們還是成為眾多受到OpenSSL漏洞影響的企業(yè)之一，不過(guò)幸虧我們有加拿大服務(wù)共享局和其他安全合作伙伴的支持，在系統(tǒng)恢復(fù)之前，其它數(shù)據(jù)沒(méi)有被繼續(xù)泄露。此外，到目前為止的分析數(shù)據(jù)顯示，還沒(méi)有其它CRA機(jī)構(gòu)數(shù)據(jù)泄露事件發(fā)生。”

這些Heartbleed漏洞利用足以顯示了攻擊者收集敏感信息的能力，但是，這個(gè)漏洞還有一個(gè)致命的問(wèn)題：攻擊者可以利用該漏洞竊取SSL密鑰。

CloudFlare和Akamai已經(jīng)發(fā)現(xiàn)Heartbleed漏洞的復(fù)雜性

兩家安全廠商已意識(shí)到Heartbleed漏洞問(wèn)題的嚴(yán)重性，越來(lái)越多的安全專家也都表示，這是互聯(lián)網(wǎng)有史以來(lái)最廣泛的漏洞之一。

在上周的一篇博客中，總部位于舊金山的內(nèi)容分發(fā)網(wǎng)絡(luò)公司CloudFlare修補(bǔ)了其基于早期披露的OpenSSL版本，試圖緩解Heartbleed漏洞容易導(dǎo)致密鑰數(shù)據(jù)泄露的問(wèn)題，尤其是Nginx服務(wù)器。

CloudFlare的Nick Sullivan表示：“通過(guò)在我們的軟件堆棧上的嚴(yán)格測(cè)試，現(xiàn)在攻擊者已經(jīng)無(wú)法再利用Heartbleed漏洞來(lái)竊取服務(wù)器上的密鑰數(shù)據(jù)。”

為了做這項(xiàng)測(cè)試，CloudFlare舉行了一場(chǎng)挑戰(zhàn)賽，在其Nginx服務(wù)器上設(shè)置了一個(gè)OpenSSL漏洞版本，讓挑戰(zhàn)者利用Heartbleed從服務(wù)器上竊取密鑰。在挑戰(zhàn)開(kāi)始九小時(shí)以后，俄羅斯軟件工程師Fedor Indutny完成了任務(wù)，但是需要發(fā)送超過(guò)250萬(wàn)個(gè)heartbeat請(qǐng)求。僅次于Indutny的是來(lái)自芬蘭的信息安全顧問(wèn)Ilkka Mattila，但也需要發(fā)送十萬(wàn)個(gè)請(qǐng)求。

Indutny隨后在其博客中發(fā)布了他利用Heartbleed漏洞的提取腳本，并指出，該漏洞不會(huì)立即產(chǎn)生嚴(yán)重后果。盡管該漏洞想被利用需要很長(zhǎng)時(shí)間，CloudFlare還是根據(jù)該挑戰(zhàn)結(jié)果及時(shí)采取措施替換了管理用戶的SSL密鑰。

CloudFlare稱：“根據(jù)該報(bào)告的結(jié)果，我們的建議是，每個(gè)用戶都應(yīng)該重發(fā)或撤銷其密鑰?！?/p>

另外，Akamai公司為了保護(hù)其客戶免受Heartbleed漏洞威脅，于上周末撤銷了之前發(fā)布的補(bǔ)丁。

意識(shí)到Heartbleed漏洞嚴(yán)重性后，Cambridge的廠商發(fā)布了一個(gè)內(nèi)存分配工具，以防止SSL密鑰的泄露。但是，在上周日晚上的一篇博客中，Akamai的首席安全官(CSO)Andy Ellis表示，安全研究人員Willem Pinckaers與Akamai聯(lián)系并報(bào)告在其Heartbleed修復(fù)中有一個(gè)漏洞。

Ellis表示：“因此，我們已經(jīng)開(kāi)始處理所有用戶的SSL密鑰/認(rèn)證，有一些認(rèn)證可以很快處理完，但是有一些認(rèn)證需要證書頒發(fā)機(jī)構(gòu)額外的認(rèn)證，可能耗時(shí)比較長(zhǎng)。”

網(wǎng)頁(yè)標(biāo)題：能利用Heartbleed漏洞的不只是黑客也可是研究人員
本文地址：http://www.5511xx.com/article/cdidjos.html