您好,您关注的内容已在最近一次服务器维护中进行了备份收藏。如您想阅读此内容,请发送邮件标题为:“申请查看历史备份内容”,正文为:要查看的文章链接,发送至solidot@zhiding.cn,进行申请查看。
「星期四」 Hello Thursday

互联网公司紧急修正OpenSSL高危漏洞

绰号为“心脏出血(Heartbleed)”的OpenSSL高危漏洞影响了三分之二的Web服务。OpenSSL是目前最流行的开源加密库和TLS协议实现,是Apache和nginx Web server默认使用的加密库,数据显示66%的网站运行Apache和nginx Web服务器。Heartbleed bug是代码中缺少边界检查导致的,利用它攻击者事实上可以绕过TLS保护,直接从处理OpenSSL进程的计算机内存中获取加密密钥和用户密码等敏感信息。安全研究人员称,即使受影响Web服务安装了最新的OpenSSL补丁,他们仍然可能容易受到攻击,因为攻击者有可能已经窃取到了数字证书的私钥和用户的密码等网站登录验证信息, 互联网公司可能需要撤销所有暴露的私钥,重新发行新的密钥,让所有会话密钥和会话cookies失效。Amazon Web Services、雅虎、Tumblr、GitHub、BitSight Technologies和密码管理公司LastPass等企业都表示在给OpenSSL软件打上最新的补丁。雅虎的发言人说,该公司团队已对雅虎的主要属性成功进行了适当的修正。安全研究人员Mark Loman在Yahoo Mail上的演示显示,他可以轻松利用一个开源工具获取Yahoo Mail的明文用户密码。

WinterIsComing 发表于

1970年01月01日 08时00分