• WAP手机版 加入收藏  设为首页
国际

OpenSSL再曝安全漏洞 国内超10万网站或受影响

时间:2016-3-4 11:53:10   作者:哎丫丫   来源:哎丫丫电脑   阅读:220   评论:0
早前的“心脏出血”漏洞事件的余悸未消,开源的加密工具OpenSSL又被曝出漏洞。昨天记者了解到,OpenSSL发现一个严重漏洞——DROWN漏洞(水牢漏洞),可能影响部分使用HTTPS的服务器及网站。庆幸的是,这一次漏洞的危害还达不到“心脏出血”的程度。

全球大量网站受影响

据介绍,水牢漏洞可以允许攻击者破坏使用SSLv2协议进行加密的HTTPS网站,利用该漏洞,攻击者可以监听加密流量,读取诸如密码、信用卡账号、商业机密和金融数据等加密信息。经国外相关机构初步探测识别,目前全球有大约400万网站和服务器受此漏洞的影响。360网络攻防实验室经初步统计,我国有109725个网站可能受到此漏洞的影响。

HTTPS是一种Web浏览器与网站服务器之间传递信息的协议,该协议以加密形式发送通信内容。SSLv2实际上是一种版本很老的协议,OpenSSL已经建议禁用。不过,因为尚有不少用户还在使用低版本的浏览器,如IE6,这些浏览器只能支持SSLv2,因此一些提供网络服务的企业还在使用该版本。

事实上,即便是360这样专门做安全的互联网企业,其部分网站也在使用OpenSSL。不过360公司表示,其在重要的系统中禁止了不安全的加密套件,因此不受“水牢漏洞”影响。

威胁小于“心脏出血”

提起OpenSSL漏洞,让人印象最深的当数2014年曝出的“心脏出血”(Heartbleed)漏洞。这次的水牢漏洞也让人担心是否又是一次“心脏出血”事件。

360公司安全专家安杨表示,“水牢漏洞”所带来的危害没有当年“心脏出血”严重。与“心脏出血”直接攻破资料存储的服务器不同,“水牢漏洞”需要黑客与被攻击者在同一个局域网下,例如入侵对方所处的WiFi网络,或者和对方在一个公司等,这样才能获取到对方的流量信息。

另外,“水牢漏洞”利用难度较高,需要租用计算集群并花费8个小时才能破解密钥。而租用计算集群的成本在400美元左右。在这样的成本下,无目的地攻击普通个人用户,很可能会得不偿失。

庆幸的是,在该漏洞被公开之后,OpenSSL已经发布了官方补丁,只要及时更新就可以封堵该漏洞

      版权声明,所有转载都有注明出处,本站不负责承担任何法律责往。若有侵权,请联系我。我会及时删除。

专业从事于个人电脑维护,系统安装,软 、硬件维修,电脑配件,零售业务,网站建设,路由器安装设置 服务器维护,电脑、网络维护,智能手机刷机,安装WIFI 调试!

        咨询电话:13762514403  点击这里给我发消 息
        手机用户选择任意下面一种方法关注微文号
       点击我关注微信、扫描二维码、添加 订阅号
cz612459”     分享资讯、享受生活          


      

相关评论
免责申明:本站部分资料来源互联网,如果侵犯了您的版权,请作者速来电或QQ与本站联系,我们将第一时间给予以改正或删除。
Copyright© 2014-2016 哎丫丫 湘ICP备14010293号 湘公网安备43100202000036号
点击这里给我发消息