A5站長網(wǎng)(m.babqa.cn)4月9日消息,昨日安全協(xié)議OpenSSL爆出本年度最嚴(yán)重的安全漏洞。此漏洞被命名為“Heartbleed”。利用該漏洞,黑客坐在自己家里電腦前,就可以實(shí)時(shí)獲取到約30%https開頭網(wǎng)址的用戶登錄賬號(hào)密碼,包括大批網(wǎng)銀、購物網(wǎng)站、電子郵件等。
據(jù)了解OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,作為一個(gè)基于密碼學(xué)的安全開發(fā)包主要囊括了密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議,目前正在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。HeartBeat漏洞能夠泄露服務(wù)器內(nèi)存中的內(nèi)容,而這其中包含了一些最敏感的數(shù)據(jù),例如用戶名、密碼和信用卡號(hào)等隱私數(shù)據(jù)。此外,攻擊者可以獲得服務(wù)器數(shù)字密鑰的拷貝,從而模仿這些服務(wù)器,或是對(duì)用戶通過服務(wù)器的通信進(jìn)行解密。
發(fā)現(xiàn)該漏洞的研究人員指出,當(dāng)今最熱門的兩大網(wǎng)絡(luò)服務(wù)器Apache和nginx都使用OpenSSL??傮w來看,這兩種服務(wù)器約占全球網(wǎng)站總數(shù)的三分之二。SSL還被用在其他互聯(lián)網(wǎng)軟件中,比如桌面電子郵件客戶端和聊天軟件。這一信息安全漏洞尤為嚴(yán)重。如果希望修復(fù)這一漏洞,那么網(wǎng)站將被迫進(jìn)行大幅調(diào)整,此外任何使用OpenSSL的用戶都必須修改密碼,因?yàn)檫@些密碼可能已被竊取。由于越來越多人依賴在線服務(wù),并在多個(gè)網(wǎng)站中重復(fù)使用同一密碼,因此這將帶來大問題。
而針對(duì)于此次的OpenSSL漏洞,烏云創(chuàng)始人方小頓在接受新浪科技采訪時(shí)說,OpenSSl實(shí)質(zhì)與服務(wù)器有關(guān),很多網(wǎng)站在建站的過程中未及時(shí)跟進(jìn)版本的升級(jí)從而導(dǎo)致漏洞的的出現(xiàn)。一般情況下,普通http協(xié)議訪問網(wǎng)站時(shí),用戶信息安全不受OpenSSL的影響。SSL大多運(yùn)用于電商網(wǎng)站、網(wǎng)銀以及在線支付領(lǐng)域, 因?yàn)樵谏婕暗劫Y金安全及個(gè)人隱私等敏感內(nèi)容的網(wǎng)頁,服務(wù)器一般都會(huì)強(qiáng)制使用https協(xié)議。
被此次漏洞波及的電商企業(yè)紛紛表示未受到影響,或已經(jīng)修復(fù)處理完畢。阿里安全回應(yīng)稱,關(guān)于OpenSSL某些版本存在基于基礎(chǔ)協(xié)議的通用漏洞,阿里各網(wǎng)站已經(jīng)在第一時(shí)間進(jìn)行了修復(fù)處理,目前已經(jīng)處理完畢,包括淘寶、天貓、支付寶等各大網(wǎng)站都確認(rèn)可以放心使用。當(dāng)當(dāng)網(wǎng)表示,目前并未收到任何有關(guān)此漏洞的信息,客服也未接到相關(guān)投訴,具體細(xì)節(jié)還需與技術(shù)進(jìn)行了解。而淘寶方面表示,針對(duì)OpenSSl的問題,淘寶網(wǎng)已經(jīng)在第一時(shí)間進(jìn)行了處理和修復(fù),目前已經(jīng)處理完畢,支付寶則稱并未受到影響。另外,京東相關(guān)負(fù)責(zé)人表示,系統(tǒng)已全面排查并升級(jí),可以避免這次漏洞的侵襲。
對(duì)于此次漏洞專家建議相關(guān)網(wǎng)站進(jìn)行版本升級(jí),而用戶如果訪問了受影響的網(wǎng)站,用戶無法采取任何自保措施則需要要更改密碼!
相關(guān)閱讀:
詳解OpenSSL重大漏洞:誰會(huì)受影響?如何解決?
OpenSSL漏洞波及電商和網(wǎng)銀 專家提醒及時(shí)修復(fù)
解析OpenSSL漏洞:影響巨大 兩年前已存在
OpenSSL重大漏洞曝光:影響雅虎等多家網(wǎng)站
OpenSSL曝重大安全漏洞 可致網(wǎng)購支付密碼泄露
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!