科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全“心脏出血”漏洞可导致密码泄露

“心脏出血”漏洞可导致密码泄露

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

10日,安全人员又发现了Heartbleed漏洞的踪迹,利用该漏洞的攻击者可获取用户密码,并诱使用户访问伪造的网站。

作者:FreeBuf. 来源:业界供稿  2016-04-14 09:35:02

关键字: OpenSSL漏洞 安全漏洞 Heartbleed

  • 评论
  • 分享微博
  • 分享邮件

10日,安全人员又发现了Heartbleed漏洞的踪迹,利用该漏洞的攻击者可获取用户密码,并诱使用户访问伪造的网站。

PS.

Heartbleed漏洞(CVE-2014-0160,CNNVD-201404-073)是OpenSSL中的一个重大安全漏洞,2014年4月7号,由国外黑客曝光。该漏洞可以让攻击者获得服务器上64K内存中的数据内容。由于使用OpenSSL的源代码的网站数量巨大,因此该漏洞影响十分严重。

OpenSSL是一个强大的安全套接字层密码库,包括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。

漏洞详情

该漏洞存在于OpenSSL中,可以泄露服务器的内存内容,其中包含大量主机托管数据等敏感信息,如用户名、密码和信用卡号码等。另外,攻击者还可以复制服务器的数字密钥,随后伪造服务器或解密通信。

安全人员RonaldPrins对雅虎网站进行测试证实,攻击者可以借助Heartbleed漏洞获取用户名和密码。Scott Galloway发表推文称,运行5分钟的Heartbleed代码就可以获取200对雅虎邮箱的用户名和密码。

解决方案

雅虎称已在其主网站上修复了该漏洞,其中包括Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr和Tumblr。另外,其安全团队正在其余网站上实现该修复。但是,雅虎还没有为用户提供相关的安全建议。

加密技术顾问FilippoValsorda研发了一种工具,可供用户在网站中检测Heartbleed漏洞。目前已检测到Google、Microsoft、Twitter、Facebook、Dropbox等主流网站不受该漏洞影响,而有一些网站如Imgur、OKCupid和Eventbrite等受该漏洞影响。

根据OpenSSL发布的公告,该漏洞影响OpenSSL 1.0.1版本和1.0.2-beta版本,并且已经发布了1.0.1g版本修复该漏洞。网络运营商需要升级该软件,并撤销可能已经被攻击者控制的证书。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    相关文章
    最新文章