OpenSSL严重安全漏洞波及2亿网民

昨天,安全协议OpenSSL爆出本年度最严重的安全漏洞“心脏出血”。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括网银、知名购物网站、电子邮件等信息。昨天下午,国内大量网站已开始紧急修复此OpenSSL高危漏洞,中国金融认证中心则发文表示,网银受到的影响较少,U盾可以放心使用。

国内2亿网民面临泄密风险

4月7日凌晨,国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。据360网站安全检测平台对国内120万家经过授权的网站扫描,其中有11440个网站主机受该漏洞影响。4月7日、4月8日期间,共计约2亿网民访问了存在OpenSSL漏洞的网站。

360安全专家石晓虹博士表示,OpenSSL此漏洞堪称“网络核弹”,网银、网购、网上支付、邮箱等都会受到影响。因为有很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。

目前还没有具体的统计数据显示这次漏洞造成多大的经济损失,但发现该漏洞的研究人员指出,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。

国内网站紧急修复

据悉,发现该漏洞的研究人员几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题,各大网站需要尽快安装最新版OpenSSL。

昨天下午,国内大量网站已开始紧急修复此OpenSSL高危漏洞,但是修复此漏洞普遍需要半个小时到一个小时时间,大型网站修复时间会更长一些。

Facebook、雅虎和谷歌发言人昨天均对外表示,已经评估了SSL漏洞,并且给关键服务打上了补丁。微软发言人也表示,“我们正在关注OpenSSL问题的报道。如果确实对我们的设备和服务有影响,我们会采取必要措施保护用户。”

截至发稿前,包括阿里巴巴、腾讯等多个大型互联网服务商通过官微宣布,已经修复了该OpenSSL漏洞。

昨天,中国金融认证中心(CFCA)官方网站挂出文章,针对OpenSSL漏洞对网银的影响进行了说明,其表示,网银系统均使用商业级的SSL加密设备,很少有采用类似OpenSSL这样的开源软件,因此受到的影响较少。而对于普通用户,U盾可以完全放心使用。对于不能确认的网站,可通过一些免费的在线工具验证一下访问的网站是否存在这个漏洞。如果存在此漏洞的话,先暂停访问,等待漏洞得到修复。

名词解释

OpenSSL

SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。SSL最早在1994年由网景推出,上世纪90年代以来已经被所有主流浏览器采纳。目前该技术在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。

当用户访问一些安全网站时,会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。

多数SSL加密的网站都使用名为OpenSSL的开源软件包。本次爆出的安全漏洞正存在于这款软件中,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长达64K的数据。OpenSSL大约两年前就已经存在这一缺陷。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2014-04-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大数据文摘

如何用Python批量发现互联网“开放”摄像头

93140
来自专栏养码场

一周播报|明明BUG这么多,死也不给看代码?这位程序员你咋这么矫情......

Q:有两张表(一个库),一个是用户表、一个是会员表,一个会员记录对应多条用户记录,有一个事务过程如下:每更新用户表中一条记录,更新(update)对应会员表中的...

9220
来自专栏FreeBuf

美国运通印度分公司数据库曝光,致70万人信息泄露

10月23日,Mongo数据库曝出漏洞,通过这个漏洞,任何人都能对数据库进行查看、编辑操作。

11720
来自专栏ImportSource

NoSQL-Relaxing Consistency-放宽一致性

作者简介: ? 一致性这事也许不是天经地义的。你同意嘛? 5.3. Relaxing Consistency 放宽一致性 一致了自然是好事。但,不幸的是,有时候...

41760
来自专栏郭润增的专栏

微信支付:如何打造移动支付时代的高可用收银系统?

移动支付时代,越来越多的人习惯于不带现金出门,许多支付场景只需要掏出手机就能完成。正因为如此,收银系统的可用性问题也越来越重要。如何打造移动支付时代的高可用收银...

1.2K00
来自专栏北京马哥教育

2017 linux版本排行榜,最好用的linux在这里

Linux的阵营日益壮大,每一款发行版都拥有一大批用户,开发者自愿为相关项目投入精力。Linux发行版可谓是形形色色,它们旨在满足每一种能想得到的需求。 本文就...

1K40
来自专栏FreeBuf

域名阴影(Domain Shadowing)技术:知名钓鱼攻击工具包Angler Exploit Kit又添杀招

臭名昭著的钓鱼工具包Angler Exploit Kit最近更新了许多漏洞利用工具(含0day),以及一项名为“域名阴影(Domain Shadowing)”的...

24690
来自专栏FreeBuf

说说最近的一个电商网站“钓鱼”案例

在过去的两年里,利用被黑的电商网站对客户的信用卡信息进行钓鱼,这种手法已经非常盛行了。 历史案例 此前我们曾报告过多起案例,黑客在付款页面和支付模块加上了恶意代...

30070
来自专栏FreeBuf

我是如何轻松拿到Google $1337现金奖励的

一、 发现过程 时间回到5月8号的中午12点30分,饭后同事说新出的Jenknis漏洞RCE的EXP网上已经在转播了,当时记得那个漏洞是大概在5月1号出的,然后...

29330
来自专栏FreeBuf

追踪、定位、监听一个也不能少:最强悍的监控间谍软件FlexiSPY源码泄露

4月22日,黑客FlexiDie公布了大量来自监控软件厂商FlexiSPY的文件,泄露的文件包括源码和一些内部文档。 这家监控公司其实是一家总部位于泰国(...

933100

扫码关注云+社区

领取腾讯云代金券