-
OpenSSL漏洞
鎖定
OpenSSL漏洞,2014年4月8日曝出的安全漏洞。
- 中文名
- 開放式安全套接層
- 外文名
- OpenSSL
- 目 標
- SSL協議
- 影 響
- 竊取內存數據
OpenSSL漏洞基本信息
安全協議OpenSSL2014年4月8日曝出嚴重的安全漏洞。這個漏洞使攻擊者能夠從內存中讀取多達64 KB的數據。
OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議,囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議,正在各大網銀、在線支付、電商網站、門户網站、電子郵件等重要網站上廣泛使用,所以本次漏洞特別值得關注。
使用了存在漏洞的OpenSSL版本,用户登錄該網站時就可能被黑客實時監控到登錄賬號和密碼等敏感的信息。
對於一個安全協議來説,這樣的安全漏洞是非常嚴重的,但該漏洞並不一定導致用户數據泄露。因為該漏洞只能從內存中讀取64K的數據,而重要信息正好落在這個可讀取的64k上的幾率並不大,攻擊者除了具備相應的知識外,還需要很好的運氣。
該漏洞是由安全公司Codenomicon和谷歌安全工程師獨立發現的。使用OpenSSL 1.0.1f的服務器將受影響,運維人員應該馬上升級。此外,1.0.1以前的版本不受此影響,但是1.0.2-beta仍需修復。
OpenSSL漏洞事件
網絡安全領域資深人士透露,由於OpenSSL漏洞的出現,在8日、9日地下交易市場中,各種兜售非法數據的交易顯得異常火爆,比如一份某省工程類人員的信息數據,清晰顯示出大量人員的姓名、身份證號碼等。北京知道創宇信息技術有限公司首席執行官楊冀龍説,監測顯示,某寶的網站被黑客盜取了1T的內存,雅虎郵箱的大量賬户密碼也曝已經泄露。
[2]
- 參考資料
-
- 1. OpenSSL曝重大安全漏洞,或導致重要信息泄露 .網易[引用日期2014-04-09]
- 2. 互聯網“心臟出血” .網易[引用日期2014-04-11]
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:17次歷史版本
- 最近更新: 四海皆海OL