3 月 20 日消息,据路透社报道,知名加密软件 OpenSSL 周四再被曝光一批新漏洞。不过相比一年前让整个计算机行业陷入恐慌的“心脏流血”(Heartbleed),安全专家们认为此一批新漏洞将不足以造成同等效果的轰动,况且 OpenSSL 项目维护组早在一周前就发出了警示,并已开始着手进行修复。
“心脏流血”漏洞曝光于 2014 年 4 月。该漏洞的发现一度引起行业高度紧张——大批计算机、软件以及网络设备商被迫紧急发布产品修复补丁,大企业客户也不得不数次往返数据中心,以鉴别存在风险的设备。
数日前,OpenSSL 项目维护组发出了预警,并表示将会在未来几天发布一批针对新漏洞的安全补丁。这让部分互联网安全观察人士感到担忧,一些人甚至认为新漏洞有可能会成为下一个“心脏流血”。
“你当然需要严肃对待任何一个安全漏洞,不过这一次情况可能不同。我们有一周的时间来做准备。”网络安全机构 Tenable Network Security 分析师克里斯·托马斯(Cris Thomas)表示。
OpenSSL 项目维护组不久前针对旗下四个不同版本的软件发布了一组安全更新,其中 12 个于近期由各机构安全研究人员提交的漏洞得到修复,也包括一个可能导致系统易遭受 DoS 攻击的漏洞。
“这样的漏洞不会威胁到 OpenSSL 的数据加密技术。”Qualys 应用安全总监伊凡·里斯迪克(Ivan Ristic)表示。
里斯迪克对新一批的漏洞曝光并不感到担忧,因为大多存在问题的 OpenSSL 新版本都还尚未被广泛使用。
“这一次的漏洞曝光不是什么大不了的事情。”里斯迪克表示,“我认为人们对此感到恐惧,才正是一切恐慌蔓延的开始。”(卢鑫)