国内网站齐灭火OpenSSL爆出最大漏洞

标签:信息安全OpenSSL心脏出血漏洞

访客:31590  发表于:2014-04-09 09:49:00

    【新闻】4月9日 一个几乎席卷了整个互联网的安全漏洞让大量知名网站开始紧急修复工作。据悉OpenSSL“心脏出血”漏洞,被称作是本年度互联网上最严重的安全漏洞,影响至少两亿中国网民。需要在https开头网址登录的网站,初步评估有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户等知名网站。


    记者了解到,目前国内使用https的网站都是跟支付和敏感用户数据相关的。从昨天下午至今,大量网站已开始紧急修复此OpenSSL高危漏洞,但是修复此漏洞普遍需要半个小时到一个小时时间,大型网站修复时间会更长一些。广大网友,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号。
    【e点评】加强安全意识一直是很多知名网站对消费者长期宣传的口号,但是往往却忽略了,自身也是需要加强安全防范的。这次诸多知名网站的集体中招,是一个警示,也可以看做是一个锻炼的机遇。
    【小贴士】OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。
     OpenSSL“心脏出血”漏洞利用方式
     利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到约30%的https开头网址的用户登录账号和密码、cookie等敏感数据,影响网银、知名购物网站等。
    漏洞成因
    OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");