Heartbleed仍然是九歌彩票平台数以千计的服务器的威胁

Heartbleed仍然是九歌彩票平台数以千计的服务器的威胁

HeartbleedOpenSSL安全漏洞首次公开披露一个月后,有强烈迹象表明仍然存在大量易受攻击的用户。

技术上,Heartbleed缺陷被识别为CVE-2014-0160并称为“TLS心跳读取超限”。它位于开源OpenSSL加密库中,该库为传输中的数据提供安全套接字层(SSL)加密功能。OpenSSL项目于4月7日首次针对Heartbleed漏洞发布了自己的补丁,但这并不意味着世界上每个人都实际更新过。

OpenSSL广泛部署在包括Android手机在内的服务器和嵌入式设备中要真正保护用户免受Heartbleed的攻击,需要采取多个步骤。对于服务器和最终用户设备,需要安装更新的OpenSSL软件包。在服务器端,需要重新生成SSL证书和最终用户需要重置他们的密码。

安全研究员罗伯特·格雷厄姆在5月8日的博客文章中指出,他扫描互联网,发现仍然容易受到Heartbleed影响的系统,发现仍有318,239个系统处于危险之中。

阅读Brinqa如何为网络风险带来可行的见解......Splunkvs.LogRhythm:SIEMHead-to-Head

但这并不是关于Heartbleed风险的全部故事。除了修补OpenSSL之外,服务器管理员还需要重新生成SSL证书。但事实证明,虽然已经重新发布了许多SSL证书,但它们并未全部重新发布。

5月9日Netcraft发布的一项研究表明,扫描的所有网站都受到Heartbleed的影响,43%的人重新颁发了他们的SSL证书。这意味着仍然有很多网站都有潜在的弱势用户。

进一步侮辱伤害,Netcraft发现7%的重新颁发的SSL证书都是用同样的方式完成的私有密钥.SSL的工作方式是服务器上有一个用于启用安全性的私有加密密钥。

“通过重用相同的私钥,受Heartbleed漏洞影响的站点Netcraft表示,如果以前的证书遭到入侵,那么仍然可以使用被窃取的私钥冒充网站的新SSL证书,甚至还会面临与尚未更换SSL证书的风险完全相同的风险。如果旧证书已被撤销。“

所以即使许多网站已经修补了Heartbleed,但并非所有网站都重新颁发了SSL证书,即便如此,仍然存在风险。然而,更大的问题可能是,Heartbleed在首次披露后超过30天仍然是一个安全问题,并且可能会持续数月甚至数年的风险。

SeanMichaelKerner是eWEEK和InternetNews.com的高级编辑。在Twitter@TechJournalist上关注他。

(责任编辑:九歌彩票平台)

本文地址:http://www.liniudun.com/feiliao/feizhizhijiang/201909/5205.html

上一篇:Polycom为惠普视觉协作业务部门 下一篇:没有了