freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

“心脏出血”漏洞可导致密码泄露 金币
2016-04-13 16:56:42

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。


10日,安全人员又发现了Heartbleed漏洞的踪迹,利用该漏洞的攻击者可获取用户密码,并诱使用户访问伪造的网站。

FreeBuf 百科

Heartbleed漏洞(CVE-2014-0160,CNNVD-201404-073)是OpenSSL中的一个重大安全漏洞,2014年4月7号,由国外黑客曝光。该漏洞可以让攻击者获得服务器上64K内存中的数据内容。由于使用OpenSSL的源代码的网站数量巨大,因此该漏洞影响十分严重。

OpenSSL是一个强大的安全套接字层密码库,包括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。

漏洞详情

该漏洞存在于OpenSSL中,可以泄露服务器的内存内容,其中包含大量主机托管数据等敏感信息,如用户名、密码和信用卡号码等。另外,攻击者还可以复制服务器的数字密钥,随后伪造服务器或解密通信。

安全人员RonaldPrins对雅虎网站进行测试证实,攻击者可以借助Heartbleed漏洞获取用户名和密码。Scott Galloway发表推文称,运行5分钟的Heartbleed代码就可以获取200对雅虎邮箱的用户名和密码。

解决方案

雅虎称已在其主网站上修复了该漏洞,其中包括Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr和Tumblr。另外,其安全团队正在其余网站上实现该修复。但是,雅虎还没有为用户提供相关的安全建议。

加密技术顾问FilippoValsorda研发了一种工具,可供用户在网站中检测Heartbleed漏洞。目前已检测到Google、Microsoft、Twitter、Facebook、Dropbox等主流网站不受该漏洞影响,而有一些网站如Imgur、OKCupid和Eventbrite等受该漏洞影响。

根据OpenSSL发布的公告,该漏洞影响OpenSSL 1.0.1版本和1.0.2-beta版本,并且已经发布了1.0.1g版本修复该漏洞。网络运营商需要升级该软件,并撤销可能已经被攻击者控制的证书。

*原文地址:rebelmouse,vul_wish编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞 # CVE-2014-0160 # heartbleed # openssl # CNNVD-201404-073
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦