OpenSSL新漏洞曝光:可被用于“中间人”攻击_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > OpenSSL新漏洞曝光:可被用于“中间人”攻击

OpenSSL新漏洞曝光:可被用于“中间人”攻击

 2014/6/6 12:38:34    程序员俱乐部  我要评论(0)
  • 摘要:北京时间6月6日早间消息,本周四,OpenSSL基金会发布警告称,一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动“中间人”攻击。信息安全专家目前仍试图解决OpenSSL加密协议中的“心脏流血”漏洞。根据AVGVirusLabs的数据,目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息,黑客可能利用新漏洞去拦截加密流量,对其进行解密,随后阅读流量中的内容。OpenSSL的用户被建议安装新的补丁
  • 标签:攻击 漏洞

  北京时间 6 月 6 日早间消息,本周四,OpenSSL 基金会发布警告称,一个已存在 10 年的漏洞可能导致黑客利用通过 OpenSSL 加密的流量发动“中间人”攻击。

  信息安全专家目前仍试图解决 OpenSSL 加密协议中的“心脏流血”漏洞。根据 AVG Virus Labs 的数据,目前仍有 1.2 万个热门域名存在这一漏洞。而根据 OpenSSL 基金会此次发布的消息,黑客可能利用新漏洞去拦截加密流量,对其进行解密,随后阅读流量中的内容。

  OpenSSL 的用户被建议安装新的补丁,并升级至 OpenSSL 软件的最新版本。这一漏洞的发现者是软件公司 Lepidum 的日本研究员 Masashi Kikuchi。Lepidum 的网站上显示:“当服务器和客户端都存在漏洞时,攻击者可以窃听及伪造你的通信。”

  与能够导致服务器直接受到攻击的“心脏流血”漏洞不同,这一新漏洞要求黑客位于两台通信的计算机之间。例如,使用机场公开 WiFi 的用户可能成为被攻击目标。

  这一漏洞自 1998 年 OpenSSL 首次发布以来就一直存在。而“心脏流血”漏洞是在 2011 年新年 OpenSSL 进行升级时引入的。

  这一漏洞在长达十几年的时间内一直没有被发现,这再次表明了 OpenSSL 管理的缺陷。OpenSSL 是开源的,这意味着任何人都可以对其进行评估及更新。由于这一原因,OpenSSL 被认为比某家公司开发的私有代码更安全、更可信。

  但实际上,OpenSSL 在欧洲只有 1 名全职开发者,以及 3 名“核心”的志愿程序员,其运营依靠每年 2000 美元的捐赠。不过,OpenSSL 仍被用于加密全球大部分网站的服务器,并被亚马逊和思科等大公司广泛使用。

  在“心脏流血”漏洞被发现之后,包括亚马逊、思科、戴尔、Facebook、富士通、谷歌、IBM、英特尔(27.66, 0.06, 0.22%)、微软、NetApp、Rackspace、高通和 VMware 在内的公司都承诺在未来 3 年内每年投入 10 万美元,用于 Core Infrastructure Initiative 项目。这一新的开源项目由 Linux 基金会牵头,用于支撑 OpenSSL 等关键的开源基础设施。

发表评论
用户名: 匿名