OpenSSL 曝出重大缺陷 黑客可多次窃取数据

简介:

screenshot

4月9日,据科技博客网站TechCrunch报道,过去两年来,被许多企业和服务用来加密数据的安全协议OpenSSL一直存在一个漏洞,黑客可以利用该漏洞从服务器内存中窃取64KB数据。

64KB数据量并不大,但黑客可以重复利用该漏洞,多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。

更糟糕的是,即使修正了这一漏洞,但用户并不清楚自己的服务器此前是否曾遭到攻击。用户可以淘汰原有的密钥,但这只能保护用户未来不会受到利用该漏洞的攻击。

安全研究人员尼古拉斯·韦弗(Nicholas Weaver)表示,“我认为,未来一年内仍然会有大量服务器存在该漏洞,漏洞不会得到及时修正。”

雅虎在一份声明中表示,“最近,一个名为Heartbleed的漏洞被发现影响许多使用OpenSSL的平台,其中包括我们的平台。得知这一消息后,我们立即着手修正这一漏洞。我们的团队已经成功地在公司主要服务中采取了恰当的修正措施,目前正在修正存在于其他服务中的这一漏洞。我们一直致力于为全球用户提供尽可能安全的体验,我们将不断努力,确保用户数据的安全。”

编者注:用户可使用下面这个网址来检查自己的网站是否存在该漏洞。

文章转载自开源中国社区 [http://www.oschina.net]

相关文章
|
3月前
|
安全 网络安全 数据安全/隐私保护
渗透测试-Openssl心脏出血漏洞复现
渗透测试-Openssl心脏出血漏洞复现
147 7
|
供应链 安全 区块链
安全情报 | Pypi再现窃密攻击投毒
9月10日起,有投毒者持续向官方Pypi仓库中投放urllitelib、urtelib32、graphql32等多个版本的恶意Py包,请及时排查。
190 0
安全情报 | Pypi再现窃密攻击投毒
|
安全 网络安全 Windows
向日葵RCE复现 | CNVD-2022-10270 CNVD-2022-03672
向日葵是一款免费的集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。 于2022年2月5日和2022年2月15日,CNVD公开上海贝锐信息科技股份有限公司的向日葵远控软件存在远程代码执行漏洞(CNVD-2022-10270/CNVD-2022-03672),影响Windows系统使用的个人版和简约版,攻击者可利用该漏洞获取服务器控制权。
473 0
向日葵RCE复现 | CNVD-2022-10270 CNVD-2022-03672
|
存储 安全 数据安全/隐私保护
安全漏洞潜伏十四年,你的 Google 账号还好吗?
安全漏洞存在了十四年之久至今才被发现,这确实会让人感到不安。
1299 0
|
Web App开发 存储 安全
赶快更新!Chrome再现高危漏洞已遭利用
Chrome update 72.0.3626.121 的 Windows、Mac 和 Linux 操作系统版本中已修复该漏洞,用户可能已经收到或者将在数天
246 0
|
安全 Android开发
研究称Android内核存在漏洞 黑客可窃取电邮
北京时间11月1日消息,据国外媒体报道,Coverity通过研究发现,Android智能手机操作系统内核存在漏洞,部分漏洞可以被黑客用来窃取用户的电子邮件和其他敏感信息。 Coverity是在宏达电Droid Incredible手机的Android中发现这些漏洞的,但表示,其他Android手机也可能存在相同的漏洞。
662 0
|
安全 数据安全/隐私保护 负载均衡
|
安全 测试技术 网络安全
|
Web App开发 安全 应用服务中间件
|
JavaScript 安全 前端开发
OpenSSH漏洞可导致服务器被暴力破解 研究人员公布利用方法
本文讲的是 OpenSSH漏洞可导致服务器被暴力破解 研究人员公布利用方法,利用安全远程访问工具OpenSSH中的一个漏洞,攻击者可绕过认证重试次数的限制,进行大量的口令猜解。
1963 0