科学数据库门户
您当前的位置是:
 | 
搜索   在 
 首页
新闻中心
漏洞数据
服务公告
服务案例
使用指南
关于本库
T-DB
 
新闻动态
OpenSSL 密码库的一个漏洞又让全球网民陷入恐慌
发布日期:5/10/2014 12:00:00 AM
文章来源:红黑联盟
 

Heartleed带来的伤痛还记忆犹新,这才过去几周时间,OpenSSL 密码库的一个漏洞又让全球网民陷入恐慌。
    黑客可能利用这个漏洞披露安全连接的内容——如密码和信用卡交易。但更糟糕的是,另一个漏洞的发现带给网民的恐惧如同雪上加霜,就在爆出openssl漏洞的几周后,又爆出了OAuth和OpenID的漏洞。
    据一名研究人员描述,事情还远没有就此结束。
    有几百万基于Java的,以及其他开源应用都存在已知漏洞,有些漏洞都已经曝出有几年时间了,他警告称。甚至直到今天,仍然有人在下载这些应用。
    Sonatype的Brian Fox在周三解释道,尽管许多项目都对漏洞进行了回应,且能迅速推出漏洞补丁,但问题是用户不会快速响应及时下载补丁来修复。
    “更何况,攻击者都是通过相同机制来标识的,即,漏洞被发现和修补后,他们就具有先动优势,因为通常利用漏洞比更新应用框架要容易些。,”他写道。
    在一些案例中,成百上千受影响的常用Java应用被数以千计的组织下载。
    他说,受影响的Struts,一款广泛使用的应用框架, 9个月的时间里被一万多个组织下载了80500次以上,而它就有一个重要的原创代码执行漏洞。
    与此同时,尽管Bouncy Castle仍然是Java密码运算法则中最受欢迎的安全屋,但它也包含一个漏洞,攻击者可利用这个漏洞来破坏自漏洞曝光五年内,20000多次下载所产生的加密数据。据称,超过4千家组织正在使用有漏洞的版本。
    “这等于是把你想加密的东西曝光,”他说。
    Heartbleed可能吓到了很多IT组织,但Fox警告称,还有很多开源应用并没有得到及时更新。
    他暗示道,这种状况可能导致另一场Heartbleed式的攻击。

点击次数:226
修改日期:5/10/2014 12:00:00 AM
 
友情链接