打补丁改密码没用,心脏出血漏洞仍未“止血”
photo by Aurich Lawson / Thinkstock
虽然包括淘宝、腾讯、京东、天猫、支付宝等国内各大存在OpenSSL漏洞的网站在第一时间宣布已经修复漏洞,并请用户“放心使用”,安全牛在随后的报道“阿里腾讯宣布修复心脏出血漏洞,你真的可以放心了吗?”一文中曾指出:“心脏出血”漏洞的最重要的桥段就是在中招网站宣布修复漏洞后,用户应当立刻修改密码。但是最新的研究发现心脏出血漏洞远比想象的严重,修复过程将十分漫长和艰难,仅仅修改密码是不够的。
昨天一个让网站系统管理员心脏停跳的消息是,最新证据表明,黑客可以利用heartbleed漏洞获取服务器私有秘钥,这意味着仅仅更新OpenSSL版本并重置用户密码依然无法给heartbleed漏洞“止血”,用户依然可能遭受服务器秘钥丢失导致的钓鱼网站和中间人攻击,除非取消并重新发放私钥和证书,这意味着很多网站之前宣布的“已经修补心脏出血”漏洞的说法并不靠谱,因为heartbleed灾难才刚刚开始。存在过OpenSSL漏洞的网站全部撤销并更换私钥和证书是一个浩大的工程,发起“heartbleed”挑战赛的Cloudfare公司认为,大量互联网站更新证书产生的流量将有可能拖垮CA认证中心。
据统计目前Alex排名前1000且曾存在heartbleed漏洞的网站中,有25%任然在使用不安全的老证书。建议用户和企业安全人士通过Internet-Wide Scan扫描网站的证书发放日期,以下heartbleed bug healt report给出了一个存在heartbleed漏洞同时SSL证书更新日期早于2014年4月1日(红色警告标记)的网站列表,我们可以看到包括有道、163、搜搜、搜狐、搜狗、有道、苏宁易购、豆瓣、苹果、wordpress、华尔街日报等多家国内外知名网站赫然上榜。
Via:安全牛网
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: