【PConline 资讯】4月9日消息,安全协议OpenSSL漏洞昨晚曝光,该OpenSSL漏洞是OpenSSL年度最严重的安全漏洞,被命名为“心脏出血”。该OpenSSL漏洞将导致网银支付密码等敏感信息泄露。此外,在该OpenSSL漏洞影响下,京东分站也被乌云平台指出存在安全隐患。 OpenSSL漏洞曝光 4月8日晚间,安全协议OpenSSL爆出本年度最严重的安全漏洞。该OpenSSL漏洞被命名为“心脏出血”,由Codenomicon和谷歌安全部门的研究人员独立发现,其成因是OpenSSL Heartbleed模块存在一个Bug,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出。 该OpenSSL漏洞导致攻击者可远程读取存在漏洞版本的OpenSSL服务器内存中长达64KB的数据。尽管64KB的数据量并不大,但黑客却可反复利用该OpenSSL漏洞,多次窃取数据,并可能凭此获得用户的加密密钥,解密敏感数据,包括网银支付密码、电子邮件等敏感信息。相关人士表示,该“心脏出血”OpenSSL漏洞已经存在了两年。 至于如何解决该OpenSSL漏洞,方法就是尽快升级到最新的OpenSSL版本,该方法是目前企业最便捷的做法。不过升级后,企业都应再通知用户更换安全证书,并通知用户尽可能地修改密码。 想要知道自己的网站是否存在OpenSSL漏洞,可以使用国外加密学专家菲利普·瓦尔索达建立的网站(点击前往),也可以使用360创建的查询网站(点击前往)。 OpenSSL漏洞致京东分站出现安全隐患 OpenSSL漏洞影响范围很大,不少站点目前都在积极修复该OpenSSL漏洞。其中,京东某分站就因该OpenSSL漏洞导致敏感信息泄露及全站随机用户登录。目前,京东方面已经确认了该高危漏洞。 除京东之外,国内还有其他多个互联网企业均受到OpenSSL漏洞影响,不过目前大部分的企业都已修复了该OpenSSL漏洞。
关于OpenSSL OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。
|
正在阅读:OpenSSL漏洞曝光!OpenSSL漏洞致密码泄露OpenSSL漏洞曝光!OpenSSL漏洞致密码泄露
2014-04-09 15:14
出处:PConline原创
责任编辑:lihongyu