Heartbleed第一篇:“心脏流血”高危漏洞情况通报(4月9日结果)
来源:互联网 发布:火影忍者手游cdkey淘宝 编辑:程序博客网 时间:2024/04/30 08:53
/****************************************************************************************************************************************/
在我的答辩PPT研究背景中,我想以heartbleed做为一个引子,引出我的论文的研究意义:确保数据安全的重要性。
既然要以此作为论文的开端,那么我首先需要了解heartbleed这一漏洞的机制。
/****************************************************************************************************************************************/
关于OpenSSL存在高危漏洞可被利用发起大规模攻击的情况通报(4月9日结果)
2014-04-09 17:09:04
安全公告编号:CNTA-2014-0013
4月8日,国家信息安全漏洞共享平台(CNVD)对OpenSSL存在的一个内存信息泄露高危漏洞进行分析,利用该漏洞可窃取服务器内存当前存储的用户数据。由于OpenSSL应用极为广泛,包括政府、高校网站以及金融证券、电子商务、网上支付、即时聊天、办公系统、邮件系统等诸多服务提供商均受到漏洞影响,直接危及互联网用户财产和个人信息安全。具体情况通报如下:
一、 漏洞情况分析
CNVD组织完成的多个测试实例表明,根据对应OpenSSL服务器承载业务类型,攻击者一般可获得用户X.509证书私钥、实时连接的用户账号密码、会话Cookies等敏感信息,进一步可直接取得相关用户权限,窃取私密数据或执行非授权操作。
二、漏洞影响范围
CNVD对该漏洞的综合评级为“高危”。受该漏洞影响的产品包括:OpenSSL 1.0.1-1.0.1f版本,其余版本暂不受影响。综合各方测试结果,国内外一些大型互联网企业的相关VPN、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器受到漏洞影响,此外一些政府和高校网站服务器也受到影响。根据CNVD成员单位——知道创宇公司以及奇虎360公司提供的抽样检测数据,国内网站有2.3万个(占其抽样的1.5%)和1.1万个(占其抽样的1.0%)服务器主机受到影响。目前互联网上已经出现了针对该漏洞的攻击利用代码,预计在近期针对该漏洞的攻击将呈现激增趋势,对网站服务提供商以及用户造成的危害将会进一步扩大。
三、漏洞处置建议
目前,OpenSSL官方发布的1.0.1g版本已修复该漏洞。为防范可能的攻击,CNVD建议采取如下措施:
(一)网站服务提供商及时下载升级。如无法及时升级,可参考OpenSSL官方建议重新编译,加上-DOPENSSL_NO_HEARTBEATS选项禁止心跳部分的功能;
(二)网站服务商在未及时升级前,建议采用第三方网站安全防护平台或专用防护设备对服务器提供防护;
(三)互联网用户近期应注意网上应用(包括手机APP)安全风险,如发现网银证书、账号和密码被非法使用、篡改的情况,应及时向服务商或CNVD报告。
相关连接:
http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
http://osvdb.com/show/osvdb/105465
http://heartbleed.com/
维基百科:https://en.wikipedia.org/wiki/Heartbleed
立即止血!Heartbleed漏洞DIY檢測工具總整理:http://www.ithome.com.tw/news/86657
- Heartbleed第一篇:“心脏流血”高危漏洞情况通报(4月9日结果)
- openssl "Heartbleed"心脏流血漏洞升级方法
- OpenSSL “Heartbleed”心脏流血漏洞升级方法
- 多功能心脏流血漏洞扫描工具(Heartbleed bug scanner suggested )
- heartbleed 心脏流血漏洞原理及补救方法
- 心脏流血(heartbleed)测试结果比对--淘宝(taobao)VS亚马逊(amazon)VS谷歌(google)
- openssl heartbleed高危漏洞
- 解码Heartbleed心脏出血漏洞
- 苹果何以躲过“心脏流血”漏洞?
- 心脏流血漏洞将会波及物联网
- 关于Apache Struts2 新增远程命令执行高危漏洞的情况通报
- 解码心脏出血漏洞 图解Heartbleed Bug
- Heartbleed心脏出血漏洞靶场搭建
- Heartbleed心脏出血漏洞原理分析
- 升级OpenSSL修复高危漏洞Heartbleed
- 升级OpenSSL修复高危漏洞Heartbleed测试
- 我的第一篇博客(mysql只比较月日的情况)
- 美国时代周刊关于心脏流血漏洞的报道
- Java多线程学习
- iOS快速开发框架Bee-Framework应用和解析(三) - Message, Model, Signal
- bzoj 2304
- 树莓派各种折腾
- mac版MySQL修改root密码
- Heartbleed第一篇:“心脏流血”高危漏洞情况通报(4月9日结果)
- 【CodeForces】[366A]Dima and Guards
- 【CodeForces】[638A]Home Numbers
- Maven仓库说明
- 【CodeForces】[300A]Array
- SICP 换零钱问题
- SICP 习题1.11
- ubuntu 主文件夹打不开
- python学习笔记1