AS网站目录(www.adminso.com):互联网公司紧急应对OpenSSL漏洞,后果未知 从亚马逊到雅虎的互联网公司周二紧急应对最新发现的互联网漏洞Heartbleed。安全专家们说,成百上千万的网络服务器都可能受到这一漏洞的影响,而一些报告显示,这一漏洞已经存在了大约两年
AS网站目录(www.adminso.com):互联网公司紧急应对OpenSSL漏洞,后果未知
从亚马逊到雅虎的互联网公司周二紧急应对最新发现的互联网漏洞Heartbleed。安全专家们说,成百上千万的网络服务器都可能受到这一漏洞的影响,而一些报告显示,这一漏洞已经存在了大约两年。
Heartbleed是OpenSSL中的一个漏洞,后者是旨在保证互联网通讯安全的一种加密协议。周一被曝光的漏洞影响了互联网的许多方面,因为OpenSSL是Apache Web服务器的默认安全通讯选项。OpenSSL在虚拟专用网络(VPN)技术中也被普遍使用,后者是一种能让企业员工远程连上公司网进行工作的技术。目前还不清楚网络攻击者能否利用Heartbleed漏洞来进入企业内网或盗取数据。
Amazon Web Services、雅虎、Tumblr、GitHub、BitSight Technologies和密码管理公司LastPass等企业都表示在给OpenSSL软件打上最近发布的补丁。美国联邦调查局(Federal Bureau of Investigation,简称FBI)称其采用了内容分发网络服务,并表示其伙伴已经给产品打上了补丁。FBI发言人对《华尔街日报》旗下CIO Journal表示,该局的内部服务器并不容易受Heartbleed漏洞影响。
Amazon Web Services发布了安全公告,详细说明了为应对Heartbleed而更新了哪些服务。亚马逊的Elastic Load Balancing是已更新的服务之一。
其他公司没有提供太多应对Heartbleed的措施细节,但这显然已在他们的工作日程上。雅虎的发言人说,该公司团队已对雅虎的主要属性成功进行了适当的修正。该发言人还说:目前他们打算在该公司其余站点也进行这样的修正。微软(Microsoft Corp)的发言人说:微软正密切关注有关OpenSSL安全漏洞的报道,如果他们认定此事给设备和服务带来了影响,他们将采取必要措施保护客户。谷歌的发言人说,该公司已对SSL的弱点进行了评估,并对关键服务发布了补丁程序。
安全技术公司Venafi Inc.首席执行长赫德森(Jeff Hudson)说,超过40%的互联网服务器都是Apache,而且其中大多数使用OpenSSL。其他研究者表示,这一安全漏洞只会对过去几年发布的OpenSSL版本产生影响。
安全专家们称,该漏洞实际上让黑客能够获得服务器的密钥,而该密钥用于加密通过互联网传递的信息。BitSight Technologies联合创始人兼首席技术长波伊尔(Stephen Boyer)表示,黑客也可能会潜入服务器内存,一次盗走64千字节的数据包;BitSight是一家评估公司网络安全性的公司。他说,可怕之处在于,他们可以解密这些信息,他补充说,人们正在匆忙升级。
不过安全问题研究人员认为,仅仅对OpenSSL软件打补丁并不能奏效。Venafi公司的赫德森说,人们尚未认识到,除非更改所有密钥和证书,否则仍然很容易受到攻击。他表示,一家大型跨国公司或许需要更改数以万计的证书(即电子信息上的附件,用于安全目的)和密钥。这种加密机制可以验证发出信息的用户身份,并给接收方提供加密应答的方式。
LastPass首席执行长西格里斯特(Joe Siegrist)对CIO Journal表示,他的公司重启了服务器,升级了OpenSSL软件,并推出了新的证书。他说,有关该漏洞的可怕之处是,尚不清楚各家公司有哪些信息或已被窃,也不知道该漏洞被发现之前被利用了多长时间。
他表示,所有事情都可能发生,实际发生了多少还远不太清楚。他说,由于该漏洞已经存在了很长时间,如果坏人知道并加以利用了几年时间,事情将真的非常糟糕;如果在该漏洞被发现之前没有多少人知道,则普通用户不会有太大风险。他说,这是一个很难回答的重要问题。
标签: 互联网 公司 紧急 应对 OpenSSL 漏洞 后果 未知
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!