安全

  |  手机版

收藏网站

投稿QQ:1745232315

香港马会开奖记录大全

今期特马资料大全

专家视点在现场环球瞭望
六合玄机 > 安全

Heartbleed是否被夸大 专家通测试找到答案

作者:企业网D1net出处:论坛2014-04-16 11:05

  专家对Heartbleed漏洞带来的风险进行了测试,测试结果发现攻击者可以获取私有服务器证书密钥,这证明了这个开源漏洞所造成的威胁。

  一肖中平特网站安全公司CloudFlare建立了一个有效的网站,并邀请攻击者执行攻击来获取密钥。该公司表示,两名攻击者花了9个小时来发现私钥。这两名攻击者发送了数百万恶意请求来利用Heartbleed漏洞,以获取密钥。

  系统集成商Accuvant公司首席安全顾问Rob Dixon表示,如果攻击者持有私有数字证书密钥,他们就可以欺诈该网站,这是支持各种攻击的有用技术。

  Dixon表示:“我们已经看到可能敏感的内存转储和信息,但我的理解是,这可能是完全随机的,或者只是内存堆栈的最后几个字节。”

  不过,Dixon和其他安全专家认为Heartbleed是一个威胁的漏洞,系统管理员需要理解并解决。这个OpenSSL漏洞已经得到了广泛的关注,因为该漏洞给攻击者提供了高达64K的web服务器的工作内存。这种随机内存块中包含各种数据,并可能包含密码,安全专家呼吁互联网用户更改其用于流行网站和一肖中平特服务的密码。

  有漏洞的OpenSSL部署也被用于很多网络安全产品中,包括安全设备、路由器和交换机。这些产品的制造商正在发布更新来修复这个安全漏洞,但这个漏洞通常位于没有面向互联网的管理控制台中。设备也在内存中携带和保存着很少的信息。

  Dixon表示:“从我执行渗透测试和漏洞评估的经验来看,我们经常可以看到在这种底层基础设施中,很多第三方补丁存在滞后性,而在这种情况下,这种滞后性可以帮助一些企业。”

  安全专家更加担心私有服务器证书密钥,要求系统管理员部署该OpenSSL补丁,并撤销和重新发布服务器证书。这两个流行的开源web服务器(Nginx和Apache)都支持几十万网站和服务。

  CloudFlare表示,很多公司已经收到了关于该漏洞的预警信息,让他们在公开发布前有足够的时间修复其漏洞。Akamai Technologies使用了自定义内存分配机制来减少私钥被曝光的可能性,但该公司表示,他们仍然在替换其客户SSL密钥作为预防措施。Akamai公司首席技术官Andy Ellis表示,该公司的自定义更新并不是百分百的万无一失。

  “虽然我们相信,攻击的可能性微乎其微,并且,被暴露的证书数量也很小,我们不能完全排除这种可能性,”Ellis表示,“因此,我们会继续替换客户SSL密钥,尽可能降低风险。”

  与此同时,美国国家安全局已经完全否认他们知道OpenSSL漏洞以及使用它来支持其监测活动。上周五,彭博社报道,两个不愿意透露姓名的人表示,NSA在过去两年中利用了这个漏洞。

  根据美国国家情报总监办公室上周发表的声明表示:“关于NSA或其他任何政府部门在2014年知道所谓的Heartbleed漏洞的报道都是不正确的。在这个OpenSSL的漏洞公开之前,联邦政府并不知道这个漏洞的存在。”

相关文章

关键词:OpenSSL Heartbleed 安全

责任编辑:李荣欣

网警备案