新聞源 財富源

2024年12月24日 星期二

財經 > 滾動新聞 > 正文

字號:  

OpenSSL再曝安全漏洞

  • 發佈時間:2016-03-04 02:32:35  來源:京華時報  作者:佚名  責任編輯:羅伯特

  早前的“心臟出血”漏洞事件的餘悸未消,開源的加密工具OpenSSL又被曝出漏洞。昨天記者了解到,OpenSSL發現一個嚴重漏洞——DROWN漏洞(水牢漏洞),可能影響部分使用HTTPS的伺服器及網站。慶倖的是,這一次漏洞的危害還達不到“心臟出血”的程度。

  全球大量網站受影響

  據介紹,水牢漏洞可以允許攻擊者破壞使用SSLv2協議進行加密的HTTPS網站,利用該漏洞,攻擊者可以監聽加密流量,讀取諸如密碼、信用卡賬號、商業機密和金融數據等加密資訊。經國外相關機構初步探測識別,目前全球有大約400萬網站和伺服器受此漏洞的影響。360網路攻防實驗室經初步統計,我國有109725個網站可能受到此漏洞的影響。

  HTTPS是一種Web瀏覽器與網站伺服器之間傳遞資訊的協議,該協議以加密形式發送通信內容。SSLv2實際上是一種版本很老的協議,OpenSSL已經建議禁用。不過,因為尚有不少用戶還在使用低版本的瀏覽器,如IE6,這些瀏覽器只能支援SSLv2,因此一些提供網路服務的企業還在使用該版本。

  事實上,即便是360這樣專門做安全的網際網路企業,其部分網站也在使用OpenSSL。不過360公司表示,其在重要的系統中禁止了不安全的加密套件,因此不受“水牢漏洞”影響。

  威脅小于“心臟出血”

  提起OpenSSL漏洞,讓人印象最深的當數2014年曝出的“心臟出血”(Heartbleed)漏洞。這次的水牢漏洞也讓人擔心是否又是一次“心臟出血”事件。

  360公司安全專家安楊表示,“水牢漏洞”所帶來的危害沒有當年“心臟出血”嚴重。與“心臟出血”直接攻破資料存儲的伺服器不同,“水牢漏洞”需要駭客與被攻擊者在同一個局域網下,例如入侵對方所處的WiFi網路,或者和對方在一個公司等,這樣才能獲取到對方的流量資訊。

  另外,“水牢漏洞”利用難度較高,需要租用計算集群並花費8個小時才能破解密鑰。而租用計算集群的成本在400美元左右。在這樣的成本下,無目的地攻擊普通個人用戶,很可能會得不償失。

  慶倖的是,在該漏洞被公開之後,OpenSSL已經發佈了官方補丁,只要及時更新就可以封堵該漏洞。

  >>連結

  “心臟出血”事件

  SSL協議是使用最為普遍的網站加密技術,而OpenSSL則是開源的SSL套件,全世界網站伺服器中有三分之二都是用OpenSSL的軟體。URL中使用https打頭的連結都採用了SSL加密技術。線上購物、網銀等活動均採用SSL技術來防止竊密及避免中間人攻擊。

  2014年4月,OpenSSL一個重大漏洞被曝出,因為危害極大,因此該漏洞被稱為“Heartbleed”(心臟出血),以形容其所帶來的致命危險。

  該漏洞讓特定版本的openSSL成為無需鑰匙即可開啟的“廢鎖”,入侵者每次可以翻檢戶主的64K資訊,只要有足夠的耐心和時間,就可以翻檢足夠多的數據,拼湊出用戶名、密碼和信用卡號等隱私資訊。

  更為重要的是,全球大多數網站都面臨這一漏洞的威脅。在“心臟出血”漏洞被曝出後的一段時間內,這就是全球網際網路行業內最大的事件,很多網際網路企業都在忙著修補漏洞,用戶則忙著修改自己的各種密碼。

  京華時報記者 古曉宇

熱圖一覽

  • 股票名稱 最新價 漲跌幅