|簡體中文

比思論壇

 找回密碼
 按這成為會員
搜索



查看: 915|回復: 4
打印 上一主題 下一主題

影响雅虎等多家网站 OpenSSL大漏洞曝光

[複製鏈接]

68

主題

115

好友

2353

積分

大學生

Rank: 6Rank: 6

  • TA的每日心情
    擦汗
    2024-11-7 18:13
  • 簽到天數: 1383 天

    [LV.10]以壇為家III

    推廣值
    0
    貢獻值
    812
    金錢
    12332
    威望
    2353
    主題
    68

    文明人 回文勇士 中學生 高中生 簽到勳章 男生勳章 簽到達人 附件高人 文章勇士 附件達人 大學生

    樓主
    發表於 2014-4-10 11:40:09
    北京时间4月9日早间消息,OpenSSL一个名为“Heartbleed”的漏洞周一曝光。利用这一漏洞,攻击者可以获取用户的密码,或欺骗用户访问钓鱼网站。目前已有业内人士表示,利用这一漏洞获得了雅虎(33.83, 0.76, 2.30%)用户的密码。  OpenSSL是一款开源软件,被广泛用于在线通信的加密。HeartBeat漏洞能够泄露服务器内存中的内容,而这其中包含了一些最敏感的数据,例如用户名、密码和信用卡号等隐私数据。此外,攻击者可以获得服务器数字密钥的拷贝,从而模仿这些服务器,或是对用户通过服务器的通信进行解密。
      这一信息安全漏洞尤为严重。如果希望修复这一漏洞,那么网站将被迫进行大幅调整,此外任何使用OpenSSL的用户都必须修改密码,因为这些密码可能已被窃取。由于越来越多人依赖在线服务,并在多个网站中重复使用同一密码,因此这将带来大问题。
      信息安全公司Fox-IT的罗纳德·普林斯(Ronald Prins)通过Twitter(41.78, -0.67, -1.58%)表示:“我们已通过Heartbleed漏洞获得了雅虎的一个用户名和密码。”而另一名开发者斯科特·加洛维(Scott Galloway)表示:“运行Heartbleed脚本5分钟时间,就获得了雅虎电子邮箱的200个用户名和密码。”
      雅虎周一晚些时候宣布,已修复了主要网站的这一漏洞。目前雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎食品、雅虎科技、Flickr和Tumblr等网站上的漏洞已经修复,而雅虎正在解决其他网站的问题。不过雅虎并未告知用户应当采取什么措施,以及这一漏洞对用户造成了什么影响。
      加密学专家菲利普·瓦尔索达(Filippo Valsorda)发布了一款工具,帮助用户检查网站上是否存在Heartbleed漏洞。这一工具显示,谷歌(554.9, 16.75, 3.11%)、微软(39.82, 0.02, 0.05%)、Twitter、Facebook(58.19, 1.24, 2.18%)、Dropbox和其他多家网站都没有这一问题,但雅虎不在其中。测试中出现问题的其他网站还包括Imgur、OKCupid和Eventbrite等。
      这一漏洞的正式名称为CVE-2014-0160。漏洞影响了OpenSSL的1.0.1和1.0.2测试版。OpenSSL已经发布了1.0.1g版本,以修复这一问题,但网站对这一软件的升级还需要一段时间。不过,如果网站配置了一项名为“perfect forward secrecy”的功能,那么这一漏洞的影响将被大幅减小。该功能会改变安全密钥,因此即使某一特定密钥被获得,攻击者也无法解密以往和未来的加密数据。

    一开电脑:就觉得社会黑暗,官员腐败,恶势力横行,民不聊生,仿佛马上就要灭亡了···
    一开电视:就觉得社会和谐,人民幸福,载歌载舞,天下太平,国泰民安,一百年都不会出事 。
    無效樓層,該帖已經被刪除
    無效樓層,該帖已經被刪除

    7

    主題

    3

    好友

    369

    積分

    中學生

    Rank: 3Rank: 3

  • TA的每日心情
    慵懶
    2022-4-18 02:33
  • 簽到天數: 94 天

    [LV.6]常住居民II

    推廣值
    0
    貢獻值
    2
    金錢
    35
    威望
    369
    主題
    7
    地板
    發表於 2015-5-3 14:23:41
    請善用帖子右下角舉報鍵,來檢舉有害網站/垃圾/宣傳帖,每個舉報會有金錢增加。
    什么玩意儿。。。
    重要聲明:本論壇是以即時上載留言的方式運作,比思論壇對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本論壇受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們比思論壇有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ),同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。

    手機版| 廣告聯繫

    GMT+8, 2024-11-19 00:56 , Processed in 0.014158 second(s), 17 queries , Gzip On, Memcache On.

    Powered by Discuz! X2.5

    © 2001-2012 Comsenz Inc.

    回頂部