OpenSSLHeartbleed漏洞的修复需耗时数月

标签:安全漏洞OpenSSLHeartbleed

访客:19016  发表于:2014-04-25 09:46:01

    【新闻】 04月23日 国际消息:根据一家业界领先的漏洞研究企业给出的意见,要将Heartbleed漏洞从其盘踞的计算机以及其它设备上彻底清除出去可能需要耗时数月。Secunia是在对大量产品进行检测并发现越来越多设备受到臭名昭著的OpenSSL安全漏洞的影响后得出这一评估警示的。

OpenSSL Heartbleed漏洞的修复需耗时数月

    Heartbleed给Web服务器带来的安全影响最为显著,但同时也作用于路由器、其它网络设备乃至企业技术体系中的多种组件之上。而将存在漏洞的OpenSSL库捆绑其中意味着受到Heartbleed影响的应用程序已经极为广泛,其中包括VPN软件、消息往来与VoIP应用等等。而且很大一部分智能手机(特别是采用Android 4.1版本的移动设备)同样身处威胁名单当中。其它容易受到Heartbleed漏洞影响的项目还包括交换机与服务器设备。
     业界对思科与甲骨文的表现赞赏有加(事实上甲骨文过去很少受到安全研究人士的肯定),这是因为两家企业以透明化方式公开了其应对Heartbleed漏洞的流程与进展。思科是在Heartbleed漏洞遭到披露的一周多之后才开始着手处理的,虽然反应不算敏锐、但进展却相当稳健。
    “思科已经确定其旗下的约四十四款产品中存在这项漏洞,而其它约六十八款产品的具体情况仍处于调查当中,”专家表示。“另外根据目前的情况看,该公司只针对其中的四款产品提供修复补丁。”
      Secunia公司当时曾经就Heartbleed漏洞向四十六家不同供应商发出过Heartbleed相关警示公告,其范围涵盖总计218款产品。但与思科不同的是,不少供应商都没有以坦率的态度公布自身处理Heartbleed问题的进度,反而选择了“暗箱操作”式的安全应对机制。
   “大多数供应商都在努力对其受影响/未受影响的产品进行审查并在补丁发布方面取得了理想的成绩,但也有不少厂商采取遮遮掩掩的态度、只在下载页面甚至是密码保护页面中以寥寥数语提到相关情况,”专家认为,“这种作法显然不值得提倡,缺乏开放态度的处理方式会让人弄不清楚Heartbleed漏洞的宏观影响范围;除此之外,人们很可能由于没有注意到这些隐藏或者半隐藏信息而无法正确评估自身业务环境中的安全风险。”
      安全研究机构将Heartbleed定性为“中等危急”水平,或者按照其十分制评判标准来看处于九分位置。之所以没有得到最高等级评价,是因为Heartbleed不会引发远程恶意代码执行风险。“目前各大供应商都在推出修复补丁,不过整个处理周期绝不是数周时间就能完成的——也许需要几个月。

【e行网】显然,这项安全漏洞将在很长一段时间里长伴我们左右并持续产生影响,好在已经有思科和甲骨文首先站出来承认问题,并且开始着手解决问题。希望国内的企业和中招的网站也能有这份勇气,亡羊补牢,为时未晚。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");