精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業動態 → 正文

Heartbleed是否被夸大 專家通測試找到答案

責任編輯:editor004 |來源:企業網D1Net  2014-04-16 10:03:51 本文摘自:網界網

專家對Heartbleed漏洞帶來的風險進行了測試,測試結果發現攻擊者可以獲取私有服務器證書密鑰,這證明了這個開源漏洞所造成的威脅。

云計算網站安全公司CloudFlare建立了一個有效的網站,并邀請攻擊者執行攻擊來獲取密鑰。該公司表示,兩名攻擊者花了9個小時來發現私鑰。這兩名攻擊者發送了數百萬惡意請求來利用Heartbleed漏洞,以獲取密鑰。

系統集成商Accuvant公司首席安全顧問Rob Dixon表示,如果攻擊者持有私有數字證書密鑰,他們就可以欺詐該網站,這是支持各種攻擊的有用技術。

Dixon表示:“我們已經看到可能敏感的內存轉儲和信息,但我的理解是,這可能是完全隨機的,或者只是內存堆棧的最后幾個字節。”

不過,Dixon和其他安全專家認為Heartbleed是一個威脅的漏洞,系統管理員需要理解并解決。這個OpenSSL漏洞已經得到了廣泛的關注,因為該漏洞給攻擊者提供了高達64K的web服務器的工作內存。這種隨機內存塊中包含各種數據,并可能包含密碼,安全專家呼吁互聯網用戶更改其用于流行網站和云計算服務的密碼。

有漏洞的OpenSSL部署也被用于很多網絡安全產品中,包括安全設備、路由器和交換機。這些產品的制造商正在發布更新來修復這個安全漏洞,但這個漏洞通常位于沒有面向互聯網的管理控制臺中。設備也在內存中攜帶和保存著很少的信息。

Dixon表示:“從我執行滲透測試和漏洞評估的經驗來看,我們經常可以看到在這種底層基礎設施中,很多第三方補丁存在滯后性,而在這種情況下,這種滯后性可以幫助一些企業。”

安全專家更加擔心私有服務器證書密鑰,要求系統管理員部署該OpenSSL補丁,并撤銷和重新發布服務器證書。這兩個流行的開源web服務器(Nginx和Apache)都支持幾十萬網站和服務。

CloudFlare表示,很多公司已經收到了關于該漏洞的預警信息,讓他們在公開發布前有足夠的時間修復其漏洞。Akamai Technologies使用了自定義內存分配機制來減少私鑰被曝光的可能性,但該公司表示,他們仍然在替換其客戶SSL密鑰作為預防措施。Akamai公司首席技術官Andy Ellis表示,該公司的自定義更新并不是百分百的萬無一失。

“雖然我們相信,攻擊的可能性微乎其微,并且,被暴露的證書數量也很小,我們不能完全排除這種可能性,”Ellis表示,“因此,我們會繼續替換客戶SSL密鑰,盡可能降低風險。”

與此同時,美國國家安全局已經完全否認他們知道OpenSSL漏洞以及使用它來支持其監測活動。上周五,彭博社報道,兩個不愿意透露姓名的人表示,NSA在過去兩年中利用了這個漏洞。

根據美國國家情報總監辦公室上周發表的聲明表示:“關于NSA或其他任何政府部門在2014年知道所謂的Heartbleed漏洞的報道都是不正確的。在這個OpenSSL的漏洞公開之前,聯邦政府并不知道這個漏洞的存在。”

關鍵字:OpenSSLHeartbleed安全

本文摘自:網界網

x Heartbleed是否被夸大 專家通測試找到答案 掃一掃
分享本文到朋友圈
當前位置:安全行業動態 → 正文

Heartbleed是否被夸大 專家通測試找到答案

責任編輯:editor004 |來源:企業網D1Net  2014-04-16 10:03:51 本文摘自:網界網

專家對Heartbleed漏洞帶來的風險進行了測試,測試結果發現攻擊者可以獲取私有服務器證書密鑰,這證明了這個開源漏洞所造成的威脅。

云計算網站安全公司CloudFlare建立了一個有效的網站,并邀請攻擊者執行攻擊來獲取密鑰。該公司表示,兩名攻擊者花了9個小時來發現私鑰。這兩名攻擊者發送了數百萬惡意請求來利用Heartbleed漏洞,以獲取密鑰。

系統集成商Accuvant公司首席安全顧問Rob Dixon表示,如果攻擊者持有私有數字證書密鑰,他們就可以欺詐該網站,這是支持各種攻擊的有用技術。

Dixon表示:“我們已經看到可能敏感的內存轉儲和信息,但我的理解是,這可能是完全隨機的,或者只是內存堆棧的最后幾個字節。”

不過,Dixon和其他安全專家認為Heartbleed是一個威脅的漏洞,系統管理員需要理解并解決。這個OpenSSL漏洞已經得到了廣泛的關注,因為該漏洞給攻擊者提供了高達64K的web服務器的工作內存。這種隨機內存塊中包含各種數據,并可能包含密碼,安全專家呼吁互聯網用戶更改其用于流行網站和云計算服務的密碼。

有漏洞的OpenSSL部署也被用于很多網絡安全產品中,包括安全設備、路由器和交換機。這些產品的制造商正在發布更新來修復這個安全漏洞,但這個漏洞通常位于沒有面向互聯網的管理控制臺中。設備也在內存中攜帶和保存著很少的信息。

Dixon表示:“從我執行滲透測試和漏洞評估的經驗來看,我們經常可以看到在這種底層基礎設施中,很多第三方補丁存在滯后性,而在這種情況下,這種滯后性可以幫助一些企業。”

安全專家更加擔心私有服務器證書密鑰,要求系統管理員部署該OpenSSL補丁,并撤銷和重新發布服務器證書。這兩個流行的開源web服務器(Nginx和Apache)都支持幾十萬網站和服務。

CloudFlare表示,很多公司已經收到了關于該漏洞的預警信息,讓他們在公開發布前有足夠的時間修復其漏洞。Akamai Technologies使用了自定義內存分配機制來減少私鑰被曝光的可能性,但該公司表示,他們仍然在替換其客戶SSL密鑰作為預防措施。Akamai公司首席技術官Andy Ellis表示,該公司的自定義更新并不是百分百的萬無一失。

“雖然我們相信,攻擊的可能性微乎其微,并且,被暴露的證書數量也很小,我們不能完全排除這種可能性,”Ellis表示,“因此,我們會繼續替換客戶SSL密鑰,盡可能降低風險。”

與此同時,美國國家安全局已經完全否認他們知道OpenSSL漏洞以及使用它來支持其監測活動。上周五,彭博社報道,兩個不愿意透露姓名的人表示,NSA在過去兩年中利用了這個漏洞。

根據美國國家情報總監辦公室上周發表的聲明表示:“關于NSA或其他任何政府部門在2014年知道所謂的Heartbleed漏洞的報道都是不正確的。在這個OpenSSL的漏洞公開之前,聯邦政府并不知道這個漏洞的存在。”

關鍵字:OpenSSLHeartbleed安全

本文摘自:網界網

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 汾西县| 永吉县| 元江| 汪清县| 远安县| 碌曲县| 高要市| 肇源县| 凌海市| 太白县| 鄢陵县| 华阴市| 池州市| 筠连县| 南涧| 田阳县| 沁水县| 河南省| 博爱县| 黔西县| 思南县| 吉木乃县| 沙洋县| 临湘市| 宜春市| 抚远县| 新巴尔虎左旗| 加查县| 仁寿县| 古田县| 廊坊市| 长宁县| 根河市| 越西县| 交口县| 政和县| 海丰县| 荆州市| 舞阳县| 枞阳县| 黄山市|