您现在的位置: 天下网吧 >> 网吧天下 >> 网吧行业 >> 网络追踪 >> 正文

互联网公司紧急应对OpenSSL漏洞,后果未知

[作者:佚名 来源:不详 时间:2014-4-9我来说两句
:互联网公司紧急应对OpenSSL漏洞,后果未知

从亚马逊到雅虎的互联网公司周二紧急应对最新发现的互联网漏洞Heartbleed。安全专家们说,成百上千万的网络服务器都可能受到这一漏洞的影响,而一些报告显示,这一漏洞已经存在了大约两年。

Heartbleed是OpenSSL中的一个漏洞,后者是旨在保证互联网通讯安全的一种加密协议。周一被曝光的漏洞影响了互联网的许多方面,因为OpenSSL是Apache Web服务器的默认安全通讯选项。OpenSSL在虚拟专用网络(VPN)技术中也被普遍使用,后者是一种能让企业员工远程连上公司网进行工作的技术。目前还不清楚网络攻击者能否利用Heartbleed漏洞来进入企业内网或盗取数据。

Amazon Web Services、雅虎、Tumblr、GitHub、BitSight TechnologIEs和密码管理公司LastPass等企业都表示在给OpenSSL软件打上最近发布的补丁。美国联邦调查局(Federal Bureau of Investigation,简称FBI)称其采用了内容分发网络服务,并表示其伙伴已经给产品打上了补丁。FBI发言人对《华尔街日报》旗下CIO Journal表示,该局的内部服务器并不容易受Heartbleed漏洞影响。

Amazon Web Services发布了安全公告,详细说明了为应对Heartbleed而更新了哪些服务。亚马逊的Elastic Load Balancing是已更新的服务之一。

其他公司没有提供太多应对Heartbleed的措施细节,但这显然已在他们的工作日程上。雅虎的发言人说,该公司团队已对雅虎的主要属性成功进行了适当的修正。该发言人还说:目前他们打算在该公司其余站点也进行这样的修正。微软(MicROSoft Corp)的发言人说:微软正密切关注有关OpenSSL安全漏洞的报道,如果他们认定此事给设备和服务带来了影响,他们将采取必要措施保护客户。谷歌的发言人说,该公司已对SSL的弱点进行了评估,并对关键服务发布了补丁程序。

安全技术公司Venafi Inc.首席执行长赫德森(Jeff Hudson)说,超过40%的互联网服务器都是Apache,而且其中大多数使用OpenSSL。其他研究者表示,这一安全漏洞只会对过去几年发布的OpenSSL版本产生影响。

安全专家们称,该漏洞实际上让黑客能够获得服务器的密钥,而该密钥用于加密通过互联网传递的信息。BitSight TechnologIEs联合创始人兼首席技术长波伊尔(Stephen Boyer)表示,黑客也可能会潜入服务器内存,一次盗走64千字节的数据包;BitSight是一家评估公司网络安全性的公司。他说,可怕之处在于,他们可以解密这些信息,他补充说,人们正在匆忙升级。

不过安全问题研究人员认为,仅仅对OpenSSL软件打补丁并不能奏效。Venafi公司的赫德森说,人们尚未认识到,除非更改所有密钥和证书,否则仍然很容易受到攻击。他表示,一家大型跨国公司或许需要更改数以万计的证书(即电子信息上的附件,用于安全目的)和密钥。这种加密机制可以验证发出信息的用户身份,并给接收方提供加密应答的方式。

LastPass首席执行长西格里斯特(Joe SIEgrist)对CIO Journal表示,他的公司重启了服务器,升级了OpenSSL软件,并推出了新的证书。他说,有关该漏洞的可怕之处是,尚不清楚各家公司有哪些信息或已被窃,也不知道该漏洞被发现之前被利用了多长时间。

他表示,所有事情都可能发生,实际发生了多少还远不太清楚。他说,由于该漏洞已经存在了很长时间,如果坏人知道并加以利用了几年时间,事情将真的非常糟糕;如果在该漏洞被发现之前没有多少人知道,则普通用户不会有太大风险。他说,这是一个很难回答的重要问题。

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:不详 作者:佚名

我来说两句(请遵守法律法规)
声明
本文来源地址:http://www.ithome.com/
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系邮箱:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧 网吧天下

扫一扫,关注天下网吧微信