10日,安全人員又發現了heartbleed漏洞的蹤跡,利用該漏洞的攻擊者可獲取使用者密碼,並誘使使用者訪問偽造的**。
ps.heartbleed漏洞(cve-2014-0160,cnnvd-201404-073)是openssl中的乙個重大安全漏洞,2023年4月7號,由國外黑客**。該漏洞可以讓攻擊者獲得伺服器上64k記憶體中的資料內容。由於使用openssl的源**的**數量巨大,因此該漏洞影響十分嚴重。
openssl是乙個強大的安全套接字層密碼庫,包括主要的密碼演算法、常用的金鑰和證書封裝管理功能及ssl協議,並提供豐富的應用程式供測試或其它目的使用。
漏洞詳情
該漏洞存在於openssl中,可以洩露伺服器的記憶體內容,其中包含大量主機託管資料等敏感資訊,如使用者名稱、密碼和信用卡號碼等。另外,攻擊者還可以復**務器的數字金鑰,隨後偽造伺服器或解密通訊。
安全人員ronaldprins對雅虎**進行測試證實,攻擊者可以借助heartbleed漏洞獲取使用者名稱和密碼。scott galloway發表推文稱,執行5分鐘的heartbleed**就可以獲取200對雅虎郵箱的使用者名稱和密碼。
解決方案
雅虎稱已在其主**上修復了該漏洞,其中包括yahoo homepage、yahoo search、yahoo mail、yahoo finance、yahoo sports、yahoo food、yahoo tech、flickr和tumblr。另外,其安全團隊正在其餘**上實現該修復。但是,雅虎還沒有為使用者提供相關的安全建議。
加密技術顧問filippovalsorda研發了一種工具,可供使用者在**中檢測heartbleed漏洞。目前已檢測到google、microsoft、twitter、facebook、dropbox等主流**不受該漏洞影響,而有一些**如imgur、okcupid和eventbrite等受該漏洞影響。
根據openssl發布的公告,該漏洞影響openssl 1.0.1版本和1.0.2-beta版本,並且已經發布了1.0.1g版本修復該漏洞。網路運營商需要公升級該軟體,並撤銷可能已經被攻擊者控制的證書。
原文發布時間為:2016-04-14
「心臟出血」漏洞可導致密碼洩露
10日,安全人員又發現了heartbleed漏洞的蹤跡,利用該漏洞的攻擊者可獲取使用者密碼,並誘使使用者訪問偽造的 freebuf 百科 heartbleed漏洞 cve 2014 0160,cnnvd 201404 073 是openssl中的乙個重大安全漏洞,2014年4月7號,由國外黑客 該漏...
關於OpenSSL「心臟出血」漏洞的分析
ttp 當我分析gnutls的漏洞的時候,我曾經說過,那不會是我們看到的最後乙個tls棧上的嚴重bug。然而我沒想到這次openssl的bug會如此嚴重。openssl 心臟出血 漏洞是乙個非常嚴重的問題。這個漏洞使攻擊者能夠從記憶體中讀取多達64 kb的資料。一些安全研究員表示 無需任何特權資訊或...
用OSSIM平台輕鬆發現「心臟出血」漏洞
用ossim平台輕鬆發現 心臟出血 漏洞 心臟出血 漏洞作為目前網際網路中存在的最為嚴重網路安全漏洞,者借助 心臟出血 漏洞可以獲取使用者上網的賬戶 密碼以及網上交易等眾多敏感資訊,因此我們必須提前測試並對這類漏洞進行修復,從而保證網上交易的安全。下文介紹如何用ossim平台來檢測 心臟出血 漏洞的...