freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

心脏滴血远去了吗?20万设备仍受威胁
2015-09-16 16:45:53

心脏滴血已经是过去式了吗?NO!事隔一年多之后,臭名昭著的心脏滴血安全漏洞并没有完全消失,仍然对20万的网络设备存在安全威胁。

根据Shodan的搜索结果显示,仍然有数十万的物联网设备存在安全隐患,Shodan创始人John Matherly在twitter上贴出了一张地图,上面列出了全球仍然受该安全问题影响的国家:

如图中显示,57272台设备位于美国;德国位居第二,有21060台;中国有11300台存在心脏滴血漏洞的设备;法国第四,10094台;英国紧随其后,9125台。

HeartBleed漏洞概括

心脏滴血首次发现于2014年,当时引起了不少恐慌。该漏洞可以允许攻击者利用OpenSSL 软件库中的安全漏洞窃取目标设备上的密码等敏感信息。

Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。

大量设备未更新补丁,仍可被攻击

尽管许多网民在漏洞披露之后都纷纷更新软件以修复该漏洞,然而,一年多以后,或者是大意,或者是软件不太容易打补丁,有近20万的设备还在受该漏洞的威胁。

安全顾问Graham Cluley指出:

“很显然,有些制造商和IT团队并没有更新存在漏洞的系统。我敢打赌,肯定有些联网设备存在心脏滴血漏洞。”

Matherly指出管理员们可以利用Shodan搜索工具检查它们的联网设备是否仍然存在心脏滴血漏洞。除了更新OpenSSL之外,管理员们还可以采取更进一步的安全措施:更改密钥、转储会话cookies。

* 参考来源theregister,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# heartbleed
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑