當(dāng)前位置:首頁 >  科技 >  互聯(lián)網(wǎng) >  正文

每日話題:OpenSSL重大漏洞席卷互聯(lián)網(wǎng)安全 涉及電商網(wǎng)銀

 2014-04-09 17:30  來源: A5站長(zhǎng)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過

A5站長(zhǎng)網(wǎng)(ck7o05r.cn)4月9日消息,昨日安全協(xié)議OpenSSL爆出本年度最嚴(yán)重的安全漏洞。此漏洞被命名為“Heartbleed”。利用該漏洞,黑客坐在自己家里電腦前,就可以實(shí)時(shí)獲取到約30%https開頭網(wǎng)址的用戶登錄賬號(hào)密碼,包括大批網(wǎng)銀、購(gòu)物網(wǎng)站、電子郵件等。

據(jù)了解OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,作為一個(gè)基于密碼學(xué)的安全開發(fā)包主要囊括了密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議,目前正在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。HeartBeat漏洞能夠泄露服務(wù)器內(nèi)存中的內(nèi)容,而這其中包含了一些最敏感的數(shù)據(jù),例如用戶名、密碼和信用卡號(hào)等隱私數(shù)據(jù)。此外,攻擊者可以獲得服務(wù)器數(shù)字密鑰的拷貝,從而模仿這些服務(wù)器,或是對(duì)用戶通過服務(wù)器的通信進(jìn)行解密。

發(fā)現(xiàn)該漏洞的研究人員指出,當(dāng)今最熱門的兩大網(wǎng)絡(luò)服務(wù)器Apache和nginx都使用OpenSSL。總體來看,這兩種服務(wù)器約占全球網(wǎng)站總數(shù)的三分之二。SSL還被用在其他互聯(lián)網(wǎng)軟件中,比如桌面電子郵件客戶端和聊天軟件。這一信息安全漏洞尤為嚴(yán)重。如果希望修復(fù)這一漏洞,那么網(wǎng)站將被迫進(jìn)行大幅調(diào)整,此外任何使用OpenSSL的用戶都必須修改密碼,因?yàn)檫@些密碼可能已被竊取。由于越來越多人依賴在線服務(wù),并在多個(gè)網(wǎng)站中重復(fù)使用同一密碼,因此這將帶來大問題。

而針對(duì)于此次的OpenSSL漏洞,烏云創(chuàng)始人方小頓在接受新浪科技采訪時(shí)說,OpenSSl實(shí)質(zhì)與服務(wù)器有關(guān),很多網(wǎng)站在建站的過程中未及時(shí)跟進(jìn)版本的升級(jí)從而導(dǎo)致漏洞的的出現(xiàn)。一般情況下,普通http協(xié)議訪問網(wǎng)站時(shí),用戶信息安全不受OpenSSL的影響。SSL大多運(yùn)用于電商網(wǎng)站、網(wǎng)銀以及在線支付領(lǐng)域, 因?yàn)樵谏婕暗劫Y金安全及個(gè)人隱私等敏感內(nèi)容的網(wǎng)頁,服務(wù)器一般都會(huì)強(qiáng)制使用https協(xié)議。

被此次漏洞波及的電商企業(yè)紛紛表示未受到影響,或已經(jīng)修復(fù)處理完畢。阿里安全回應(yīng)稱,關(guān)于OpenSSL某些版本存在基于基礎(chǔ)協(xié)議的通用漏洞,阿里各網(wǎng)站已經(jīng)在第一時(shí)間進(jìn)行了修復(fù)處理,目前已經(jīng)處理完畢,包括淘寶、天貓、支付寶等各大網(wǎng)站都確認(rèn)可以放心使用。當(dāng)當(dāng)網(wǎng)表示,目前并未收到任何有關(guān)此漏洞的信息,客服也未接到相關(guān)投訴,具體細(xì)節(jié)還需與技術(shù)進(jìn)行了解。而淘寶方面表示,針對(duì)OpenSSl的問題,淘寶網(wǎng)已經(jīng)在第一時(shí)間進(jìn)行了處理和修復(fù),目前已經(jīng)處理完畢,支付寶則稱并未受到影響。另外,京東相關(guān)負(fù)責(zé)人表示,系統(tǒng)已全面排查并升級(jí),可以避免這次漏洞的侵襲。

對(duì)于此次漏洞專家建議相關(guān)網(wǎng)站進(jìn)行版本升級(jí),而用戶如果訪問了受影響的網(wǎng)站,用戶無法采取任何自保措施則需要要更改密碼!

相關(guān)閱讀:

詳解OpenSSL重大漏洞:誰會(huì)受影響?如何解決?

OpenSSL漏洞波及電商和網(wǎng)銀 專家提醒及時(shí)修復(fù)

解析OpenSSL漏洞:影響巨大 兩年前已存在

OpenSSL重大漏洞曝光:影響雅虎等多家網(wǎng)站

OpenSSL曝重大安全漏洞 可致網(wǎng)購(gòu)支付密碼泄露

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

  • OpenSSL發(fā)布HTTPS漏洞預(yù)警 謹(jǐn)防賬號(hào)密碼信息被破解

    目前,不少互聯(lián)網(wǎng)公司網(wǎng)址域名開頭為“https”,由于“https”開頭的域名為用戶提供了更加安全的購(gòu)物環(huán)境,能防止用戶信息被竊取,得到很多網(wǎng)民信任,不過一旦出現(xiàn)漏洞危害將更大。近日,OpenSSL宣布修復(fù)一個(gè)高危漏洞,解決攻擊者利用該漏洞破解HTTPS中加密內(nèi)容的問題,騰訊反病毒實(shí)驗(yàn)室專家建議用戶

    標(biāo)簽:
    OpenSSL
    OpenSSL漏洞

  • OpenSSL漏洞給IT人的警鐘:鍛煉與安全一樣都不能放松

    網(wǎng)站的安全性到底有多重要?我想很多站長(zhǎng)是很清楚的,不由我來浪費(fèi)口舌。網(wǎng)站的安全問題就是SEO優(yōu)化問題之一,安全性越高,搜索引擎的信任度越高,收錄的可能性越大,用戶體驗(yàn)也越順暢。

    標(biāo)簽:
    OpenSSL
    OpenSSL漏洞

  • OpenSSL漏洞可泄露私鑰 各大網(wǎng)站應(yīng)更換證書

    OpenSSL漏洞不光會(huì)泄露用戶賬號(hào)密碼,網(wǎng)站服務(wù)器證書也岌岌可危!據(jù)網(wǎng)絡(luò)服務(wù)公司Cloudflare發(fā)起的“心臟出血漏洞挑戰(zhàn)賽”顯示,黑客可以利用此漏洞盜取網(wǎng)站服務(wù)器SSL證書私鑰。在國(guó)內(nèi)深圳沃通已緊急推出SSL證書救援服務(wù)。網(wǎng)站服務(wù)器SSL證書私鑰泄露,意味著網(wǎng)站用戶提交的所有信息都可以被黑客截

    標(biāo)簽:
    OpenSSL
    OpenSSL漏洞

  • 一周新聞回顧:萬般不舍的微軟XP退休 OpenSSL重大漏洞詳解

    1.比特幣報(bào)價(jià)單月跳水近40%虛擬貨幣熱催生風(fēng)險(xiǎn)比特幣也好,萊特幣、元寶幣也罷,在國(guó)內(nèi)市場(chǎng)上經(jīng)過一段時(shí)間的狂熱炒作后,在監(jiān)管加強(qiáng)后,價(jià)格都出現(xiàn)大幅波動(dòng)。虛擬貨幣熱催生風(fēng)險(xiǎn)據(jù)新華社電曾一年間瘋漲80倍的虛擬貨幣比特幣正遭遇尷尬:一方面,交易平臺(tái)遭遇銀行及支付機(jī)構(gòu)“設(shè)限”,導(dǎo)致比特幣行情單月跳水近40%

  • OpenSSL漏洞爆發(fā) QQ瀏覽器精準(zhǔn)攔截即時(shí)提醒

    安全協(xié)議OpenSSL爆出本年度最嚴(yán)重的安全漏洞,這個(gè)在黑客社區(qū)中被命名為“心臟出血”的漏洞對(duì)https開頭的網(wǎng)址具有極強(qiáng)的危害性,可導(dǎo)致網(wǎng)站大量隱私信息泄露??膳碌氖墙^大多數(shù)網(wǎng)銀、電子商務(wù)網(wǎng)站、電子郵件網(wǎng)站等,均以https作為網(wǎng)址的開頭,這就意味著絕大多數(shù)網(wǎng)民的個(gè)人賬號(hào)、銀行賬號(hào)及隱私等,均將毫

    標(biāo)簽:
    OpenSSL
    OpenSSL漏洞
加載更多

熱門排行

信息推薦