首页 >> 通信技术 >> 技术滚动 >> 正文
OpenSSL“心脏出血”漏洞来袭,须尽快升级
通信世界网 http://www.cww.net.cn 2014年4月9日 10:05
标签:OpenSSL
 

OpenSSL:

OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH。OpenSSL为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

越来越多的网站使用加密代码来保护如用户名、密码和信用卡号等数据,这能够防止黑客通过网络盗取个人信息。

这种加密协议被称为SSL(Secure Sockets Layer安全套接层)或TLS(Transport Layer Security Protocol安全传输层协议)。当一个网站使用这种安全协议,浏览器中的地址栏旁会出现挂锁图标。

编写加密代码十分复杂,所以很多网站使用一种开源的免费安全协议,即OpenSSL。

昨日,OpenSSL爆出其加密代码中一种名为Heartbleed的严重安全漏洞(CVE ID:CVE-2014-0160),黑客可以利用该漏洞从服务器内存中窃取64KB数据。据谷歌和网络安全公司Codenomicon的研究人员透露,该漏洞已经存在存在两年之久,三分之二的活跃网站均在使用这种存在缺陷的加密协议。

该 Heartbleed bug 可以让互联网的任何人读取系统保护内存,这种妥协密钥用于识别服务提供者和加密流量,用户名和密码的和实际的内容。该漏洞允许攻击者窃听通讯,并通过模拟服务提供者和用户来直接从服务提供者盗取数据。

目前仅OpenSSL的1.0.1及1.0.2-beta版本受到影响,包括:1.0.1f及1.0.2-beta1版本。

由于“心脏出血”漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。安恒信息建议广大互联网服务商尽快将OpenSSL升级至1.0。OpenSSL Project已经为此发布了一个安全公告(secadv_20140407)以及相应补丁:secadv_20140407:TLS heartbeat read overrun (CVE-2014-0160)

链接:https://www.openssl.org/news/secadv_20140407.txt通信世界网

 

来源:通信世界网
相关文章
 
文章评论
 
    昵称:  验证码:

 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
李进良:阚凯力“4G..
阚教授以语不惊人誓不休的哗众取宠姿态博得不少喝彩声,咋一听,迎合了某些..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
华为IDC/ISP信息安全管理..
IDC需要加强信息安全管理互联网接入服务管理是互联网管理的重要组成部分..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网