享受數百萬個最新的Android應用,遊戲,音樂,電影,電視,書籍,雜誌等。隨時隨地,您的設備遍布設備。
OpenSSL剛剛發現了一個非常嚴重的缺陷 - 一個開源和非常受歡迎的密碼庫,該圖書館已經引起了安全專家的未成年人(目前)的恐慌。根據OpenSSL項目剛剛發布的安全公告,可以使用TLS心跳擴展的丟失界限檢查,可用於向連接的客戶端或服務器揭示多達64K的內存。
實際上,這允許SSL/TLS加密用於保護Internet的SSL/TLS加密竊取受保護的信息(在正常情況下)。
SSL/TLS協議可在Internet上提供通信安全性和隱私,例如Web,電子郵件,即時消息傳遞(IM)和某些虛擬專用網絡(VPN)。攻擊者可以竊取秘密密鑰,用戶名和密碼,即時消息,電子郵件和業務的關鍵文檔和通信 - 所有這些都不留下跟踪。
這使得缺陷(已經收到了一個別名“ Heartbleed Bug”)絕對至關重要,因此應及時採取對策。
到目前為止,尚無關於這些缺陷可能被剝削多麼廣泛的詞。但是,脆弱的Openssl 1.0.1於2012年3月發布。從那以後,可能了解到有關的安全缺陷的人本來就一直在竊聽任何TSL/SSL加密通信。這使得問題是一個潛在的全局問題:OpenSSL由Apache和Nginx等非常流行的服務器軟件使用。根據Netcraft 2014年4月的Web服務器調查,它們的總份額超過66%,並且它們通常由各種規模的企業使用。
截至今天,許多Nix*類似的操作系統也受到影響,因為它們包裝了脆弱的OpenSSL:
Debian Wheezy(穩定),OpenSSL 1.0.1E-2+DEB7U4)
Ubuntu 12.04.4 LTS,OpenSSL 1.0.1-4ubuntu5.11)
CentOS 6.5,OpenSSL 1.0.1E-15)
Fedora 18,OpenSSL 1.0.1E-4
OpenBSD 5.3(OpenSSL 1.0.1C)函數5.4(OpenSSL 1.0.1C)
FreeBSD 8.4(OpenSSL 1.0.1E)函數9.1(OpenSSL 1.0.1C)
NetBSD 5.0.2(OpenSSL 1.0.1E)
OpenSuse 12.2(OpenSSL 1.0.1C)
帶有較舊版本的包裝 - Debian Squeeze(Oldstable),OpenSSL 0.9.8O-4Squeeze14,Suse Linux Enterprise Server-沒有此缺陷。
可能受影響的當事方是操作系統供應商和分銷,設備供應商以及獨立的軟件供應商。強烈建議他們採用該修復程序 - openssl 1.0.1g - 盡快通知其用戶可能的密碼洩漏。還必須生成新的秘密鍵和證書。
服務提供商和用戶必須安裝修復程序,因為它可用於他們使用的操作系統,網絡設備和軟件。
一個在線工具,它允許通過其主機名來測試CVE-2014-0160錯誤的任何服務器,並且建議您檢查一下。
同樣,一位可能利用漏洞的攻擊者將絕對不會在攻擊系統中留下任何痕跡,因此無法學習是否有人實際上被妥協。使用OPENSL 1.0.1至1.0.1F的每個業務都處於危險之中,因此現在唯一合理的措施是盡快插入此安全污垢孔。
展開
發佈時間
大小
類別
商務辦公包名
