2014年4月7日,OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160),这也是本年度最严重的安全漏洞。据谷歌和网络安全公司Codenomicon的研究人员透露,OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久。该漏洞能够泄露服务器内存中的内容,而这其中包含了一些最敏感的数据,例如用户名、密码和信用卡号等隐私数据。目前已有业内人士表示,利用这一漏洞获得了雅虎用户的密码。

头条推荐

OpenSSL漏洞简述与网络检测方法

4月7日,OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。……>>详细

全球10大商业软件供应商受Heartbleed影响一览

随着Heartbleed OpenSSL漏洞的出现,各企业软件开发团队手忙脚乱地检查自己的软件,以确认有无问题。其结果有好有坏。

全球10大商业软件供应商受Heartbleed影响一览

Vulture South网站整理了一下近期的全球前10位软件厂商的情况。下面列出各软件厂商的处境。

微软清闲自在,因为Windows、IIS、Microsoft帐户和微软Azure“以及大多数Microsoft服务未受到OpenSSL漏洞的影响” 。“Windows下的SSL / TLS的”亦未受影响。

阅读全文

Heartbleed工程师:这是一场“意外”

在过去的几天里,Heartbleed漏洞已经对安全行业和Web服务造成了很大影响。但是,与事故相关的程序员却表示,这是一场意外。

Heartbleed工程师:这是一场“意外”

Heartbleed是一个影响OpenSSL 1.0.1和 1.0.2的加密漏洞,1.0.1在网页和大量流行的Web服务上使用得很多。从理论上说,该漏洞是用于查看跨HTTP,显著安全的信息,通常在浏览器的地址栏中,用一个小小的锁来表示。

存在安全风险的数据,包括密码,密钥,详细的金融信息,个人身份信息等——都可以让黑客潜入,删除数据,而且不留痕迹。

阅读全文

判断是否支持Heartbeat的NSE脚本

服务端支持heartbeat是存在heartbleed漏洞的必要条件,如果判断出某SSL端口不支持heartbeat,那基本上就可以排除风险了。

判断是否支持Heartbeat的NSE脚本

在SSL握手阶段,如果Client Hello里声明了客户端支持heartbeat,那么服务端会在Server Hello中声明自己是否也支持heartbeat。

判断是否支持Heartbeat的NSE脚本

阅读全文

Heartbleed: OpenSSL密码与加密密钥泄露漏洞剖析

此次名为Heartbleed的OpenSSL漏洞引发了极其恶劣的影响,而为此暂时切断互联网连接肯定也不算什么理想的解决方案。仅仅由于广泛使用的加密机制中存在一丁点微小缺陷,如今任何家伙都能轻松潜入存在漏洞的系统——包括银行HTTPS服务器以及个人VPN——并疯狂窃取密码、登陆cookie、个人加密密钥等等。

Heartbleed: OpenSSL密码与加密密钥泄露漏洞剖析

现在已经是2014年了,安全保障工作为何仍然如此不堪?

只需一份利用Metasploit引擎的简单脚本外加短短几秒钟,恶意人士即可从依赖于OpenSSL 1.0.1到1.0.1f版本进行TLS加密的系统内存中提取到敏感数据。根据我们掌握的情况,这一漏洞影响到的网站约为五十万个、占总体受信网站中的17.5%,此外任何使用上述OpenSSL版本的客户端软件、邮件服务器、聊天服务等也都在受影响范围之内。

阅读全文

Heartbleed漏洞披露,用户们纷纷感到不适

目前,世界各地的系统管理员们都在争先恐后地修复一个名为“Heartbleed”的OpenSLL漏洞。

Heartbleed漏洞披露,用户们纷纷感到不适

与此同时,证书经销商们也严阵以待、准备迎接网络管理员们通过快递寄回并需要进行内容更新的证书。

OpenSSL的历史可以追溯到Eric Young所打造的SSLeay。虽然来自美国约翰霍普金斯大学的Matthew Green曾经将其讥讽为一个“教你自学大数除法”的项目,但我们还记得在Hudson/Young之前、加密算法曾经由美国政府所牢牢控制。

阅读全文

面对OpenSSL漏洞 相关网站和安全厂商迅速反应

日前,被曝出的OpenSSL“HeartBleed Bug”被认为是2014年度最严重的安全漏洞,OpenSSL在漏洞公布当天已发布了修复版本。相关网站和安全厂商对此都纷纷做出了反应。

漏洞被公布当天下午,大量网站已开始紧急修复OpenSSL高危漏洞,修复此漏洞普遍需要半个小时到一个小时时间,大型网站修复时间则更久。

Facebook、雅虎和谷歌发言人当天均对外表示,已经给关键服务打上了补丁。阿里巴巴、腾讯等多家国内网站也通过官微宣布已修复了漏洞。

腾讯电脑管家紧急联合安全联盟上线OpenSSL漏洞预警功能,凡是存在此严重漏洞风险的网站,均被腾讯电脑管家拦截,同时相关网站也将会在腾讯QQ聊天窗口中给予拦截。 对于受“心脏出血”漏洞影响的网站,安全联盟在该相关专题发布网站安全解决方案:

阅读全文

互联网安全不眠夜:“心脏出血”,波及网银电商

昨晚(4月8日)是黑客和白帽们的不眠之夜。他们有的在狂欢,逐个进入戒备森严的网站,耐心地收集泄漏数据,拼凑出用户的明文密码;有的在艰苦升级系统,统计漏洞信息,还要准备说服客户的说辞,让他们意识到问题的严重性;当然还有淼叔这样看热闹不嫌事大的,拼命恶补安全常识、寻找专家采访,试图记录这历史性的一夜。

互联网安全不眠夜:“心脏出血”,波及网银电商

这一夜,互联网门户洞开。

基础安全协议“心脏出血”

阅读全文

OpenSSL重大漏洞曝光 影响雅虎等多家网站

北京时间4月9日早间消息,OpenSSL一个名为“Heartbleed”的漏洞周一曝光。利用这一漏洞,攻击者可以获取用户的密码,或欺骗用户访问钓鱼网站。目前已有业内人士表示,利用这一漏洞获得了雅虎用户的密码。

OpenSSL重大漏洞曝光 影响雅虎等多家网站

OpenSSL是一款开源软件,被广泛用于在线通信的加密。HeartBeat漏洞能够泄露服务器内存中的内容,而这其中包含了一些最敏感的数据,例如用户名、密码和信用卡号等隐私数据。此外,攻击者可以获得服务器数字密钥的拷贝,从而模仿这些服务器,或是对用户通过服务器的通信进行解密。

这一信息安全漏洞尤为严重。如果希望修复这一漏洞,那么网站将被迫进行大幅调整,此外任何使用OpenSSL的用户都必须修改密码,因为这些密码可能已被窃取。由于越来越多人依赖在线服务,并在多个网站中重复使用同一密码,因此这将带来大问题。

阅读全文

OpenSSL曝严重安全漏洞,国内大量网站中招

OpenSSL的协议中,刚刚曝光了一个“毁灭性”的安全漏洞,或暴露某些重量级服务的加密密钥(cryptographic keys)和私有通信(private communications)。如果你的服务器正在使用OpenSSL 1.0.1f,请务必立即升级到OpenSSL 1.0.1g。此外,1.0.1以前的版本不受此影响,但是1.0.2-beta仍需修复。

OpenSSL曝严重安全漏洞,国内大量网站中招

Heartbleed.com已经披露了相关细节,指出该漏洞与OpenSSL传输层安全协议的“heartbeat”部分有关。该问题甚至比苹果最近的SSL bug还要危险(因为这敞开了被恶意中间人攻击的大门)。

该bug是由安全公司Codenomicon和谷歌安全工程师独立发现的,据了解国内大量网站存在该漏洞,网友更称该漏洞为今年史上最强大的漏洞,如下图:

阅读全文

10 OpenSSL安全协议存在漏洞危及网络用户数据安全

4月9日消息,据华尔街报道,许多网站使用的OpenSSL安全协议存在漏洞,可能导致大量隐藏数据被盗取。据谷歌和网络安全公司Codenomicon的研究人员透露,OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久。三分之二的活跃网站均在使用这种存在缺陷的加密协议。他们指出可使用的补丁,网站可用以自我保护以及维护用户的安全。

OpenSSL安全协议存在漏洞危及网络用户数据安全

包括主页和邮箱在内的数个雅虎网站也存在这种安全漏洞。雅虎发言人今日表示,“我们的团队已经成功地完成雅虎各个网站的修复。”

一些零售商表示,在雅虎修复漏洞之前,他们能够获得雅虎的用户名和密码。

阅读全文

11 关于OpenSSL“心脏出血”漏洞的分析

当我分析GnuTLS的漏洞的时候,我曾经说过,那不会是我们看到的最后一个TLS栈上的严重bug。然而我没想到这次OpenSSL的bug会如此严重。

关于OpenSSL“心脏出血”漏洞的分析

OpenSSL“心脏出血”漏洞是一个非常严重的问题。这个漏洞使攻击者能够从内存中读取最多64 KB的数据。一些安全研究员表示:

无需任何特权信息或身份验证,我们就可以从我们自己的(测试机上)偷来X.509证书的私钥、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档和通信等数据。

阅读全文

12 当安全协议不安全了:OpenSSL漏洞

昨天早上大家还在讨论XP停止服务的事,到处是相关的新闻和文章,到了下午,到处都是OpenSSL的漏洞消息了。

当安全协议不安全了:OpenSSL漏洞

OpenSSL与SSL安全协议

什么是SSL安全协议,我记得在10年我写过一篇简单介绍的文章,小谈SSL安全协议(http://hi.baidu.com/fooying/item/2c4c407ee2acb1326cc37c74),大家不凡可以看看,以前的文章,大家就不要笑话了。

阅读全文

13 又要改密码了?如何看待刚爆出的OpenSSL事件

又要改密码了?如何看待刚爆出的OpenSSL事件

昨天OpenSSL(为网络通信提供安全及数据完整性的一种安全协议)爆出本年度最严重的安全漏洞,让很多小伙伴们又忙活了一夜,这包括网络安全公司、网银购物网站等的安全部门、黑白客以及记者们。

又要改密码了?如何看待刚爆出的OpenSSL事件

(来自乌云的漏洞报告)

阅读全文

14 OpenSSL爆出安全漏洞 须尽快升级

2014年4月9日 OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH。OpenSSL为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

OpenSSL爆出安全漏洞 须尽快升级

越来越多的网站使用加密代码来保护如用户名、密码和信用卡号等数据,这能够防止黑客通过网络盗取个人信息。

这种加密协议被称为SSL(Secure Sockets Layer安全套接层)或TLS(Transport Layer Security Protocol安全传输层协议)。当一个网站使用这种安全协议,浏览器中的地址栏旁会出现挂锁图标。

阅读全文

热点专题推荐

携程曝漏洞,谁该被警醒?
刚刚过去的这个周末很不太平。3月22日下午6点,白帽子黑客“猪猪侠”在乌云…
2013网络安全盘点与展望之展
2013年,SDN,BYOD,100G、云计算等技术让网络领域焕发蓬勃生机。2014年,…
2013网络安全盘点及展望之人
又是一个岁末年初的节点。你的2013是什么颜色?是否已经实现最初的梦想?有…
2013网络安全盘点及展望之安
2013年,云计算、移动互联、物联网、SDN、大数据等技术的应用,及威胁态势…
2013网络安全盘点及展望之安
2013年,网络空间依然不太平,各类安全事件频发。年中斯诺登曝出棱镜事件不…
网购狂欢季 冷眼看安全
由于电商网站直接涉及金钱交易,其本身安全性至关重要。网站只有自身安全了…
2013网络安全盘点及展望之安
2013年,云计算、移动互联、物联网、SDN、大数据等技术的应用,带来了安全…
深度剖析APT攻击与防御
"近几年,安全威胁发生了很大变化,尤其是高级持续性威胁(简称APT)有愈演…
2013黑帽大会:揭秘世界黑客
Blackhat安全技术大会是世界上最好的能够了解未来安全趋势的信息峰会。 专…
“棱镜”激醒中国信息安全最
棱镜的曝光,令美国颇为尴尬,不止因为棱镜项目本身,而是美国对包括中国在…
台菲黑客大战引发的DNS安全
截至目前,台菲就渔船枪击事件的谈判还未平息,但在两地民间黑客战争中,菲…
从隐私安全说“小甜饼”——
“Cookies”也被称为HTTP cookies、网络cookies或浏览器cookies,它是当您…

投    票

你认为这次的OpenSSL漏洞后果严重吗?
非常严重
比较严重
没那么严重,被过分炒作

专题推荐

古有“晴雯补裘”,今有“网络补漏”。当互联网成为人们生活的必需品,当大大小小的漏洞不断入侵我们的电脑
那些年一起补过的漏洞
古有“晴雯补裘”,今有“网络补漏”。当互联网成为人们生活的必需品,当大大小...
为更好地应对互联网安全挑战,交流最新的安全技术与解决方案,国内规模最大的信息安全专业会议——2013中国
2013ISC新兴安全威胁论坛
为更好地应对互联网安全挑战,交流最新的安全技术与解决方案,国内规模最大的信...
OWASP中国峰会已经成为中国应用安全领域的高端峰会。本次OWASP 2011亚洲峰会特意邀请政府、金融、互联网、
互联网安全新思维——OWASP
OWASP中国峰会已经成为中国应用安全领域的高端峰会。本次OWASP 2011亚洲峰会特...
【导读】目前,因为ARP而导致企业网络瘫痪的例子举不胜举,很多企业面对这些攻击束手无策,为此51CTO安全频
ARP攻击防范与解决方案
【导读】目前,因为ARP而导致企业网络瘫痪的例子举不胜举,很多企业面对这些攻...

一周排行

留言评论