中国信息化
设为首页
加入收藏
简体中文
返回旧版
网站首页
关于协会
协会简介
协会章程
协会机构
分支机构
协会媒体
协会大事记
联系我们
协会要闻
协会工作
活动预告
协会会员
会员加盟
特约副会长
常务理事单位
理事单位
会员单位
通知公告
业界动态
智慧社会
智慧农业
智慧生活
智慧教育
智慧医疗
数字化转型
动态
理论
IT与服务
IT运维
信息服务
国际资讯
动态
理论
会展信息
地方动态
新闻动态
经验做法
信息安全
行业新闻
安全方案
专家观点
最新观点
信息化研究
政务信息化
动态
理论
新一代信息技术
移动&物联
大数据
云计算
人工智能
工业互联网
当前位置:
首页
信息安全
安全方案
OpenSSL再曝安全漏洞 全球大量网站受影响
来源:
作者:
发布时间: 2016-03-04
原标题:OpenSSL再曝安全漏洞
早前的“心脏出血”漏洞事件的余悸未消,开源的加密工具OpenSSL又被曝出漏洞。昨天记者了解到,OpenSSL发现一个严重漏洞——DROWN漏洞(水牢漏洞),可能影响部分使用HTTPS的服务器及网站。庆幸的是,这一次漏洞的危害还达不到“心脏出血”的程度。
全球大量网站受影响
据介绍,水牢漏洞可以允许攻击者破坏使用SSLv2协议进行加密的HTTPS网站,利用该漏洞,攻击者可以监听加密流量,读取诸如密码、信用卡账号、商业机密和金融数据等加密信息。经国外相关机构初步探测识别,目前全球有大约400万网站和服务器受此漏洞的影响。360网络攻防实验室经初步统计,我国有109725个网站可能受到此漏洞的影响。
HTTPS是一种Web浏览器与网站服务器之间传递信息的协议,该协议以加密形式发送通信内容。SSLv2实际上是一种版本很老的协议,OpenSSL已经建议禁用。不过,因为尚有不少用户还在使用低版本的浏览器,如IE6,这些浏览器只能支持SSLv2,因此一些提供网络服务的企业还在使用该版本。
事实上,即便是360这样专门做安全的互联网企业,其部分网站也在使用OpenSSL。不过360公司表示,其在重要的系统中禁止了不安全的加密套件,因此不受“水牢漏洞”影响。
威胁小于“心脏出血”
提起OpenSSL漏洞,让人印象最深的当数2014年曝出的“心脏出血”(Heartbleed)漏洞。这次的水牢漏洞也让人担心是否又是一次“心脏出血”事件。
360公司安全专家安杨表示,“水牢漏洞”所带来的危害没有当年“心脏出血”严重。与“心脏出血”直接攻破资料存储的服务器不同,“水牢漏洞”需要黑客与被攻击者在同一个局域网下,例如入侵对方所处的WiFi网络,或者和对方在一个公司等,这样才能获取到对方的流量信息。
另外,“水牢漏洞”利用难度较高,需要租用计算集群并花费8个小时才能破解密钥。而租用计算集群的成本在400美元左右。在这样的成本下,无目的地攻击普通个人用户,很可能会得不偿失。
庆幸的是,在该漏洞被公开之后,OpenSSL已经发布了官方补丁,只要及时更新就可以封堵该漏洞。
>>链接
“心脏出血”事件
SSL协议是使用最为普遍的网站加密技术,而OpenSSL则是开源的SSL套件,全世界网站服务器中有三分之二都是用OpenSSL的软件。URL中使用https打头的链接都采用了SSL加密技术。在线购物、网银等活动均采用SSL技术来防止窃密及避免中间人攻击。
2014年4月,OpenSSL一个重大漏洞被曝出,因为危害极大,因此该漏洞被称为“Heartbleed”(心脏出血),以形容其所带来的致命危险。
该漏洞让特定版本的openSSL成为无需钥匙即可开启的“废锁”,入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,就可以翻检足够多的数据,拼凑出用户名、密码和信用卡号等隐私信息。
更为重要的是,全球大多数网站都面临这一漏洞的威胁。在“心脏出血”漏洞被曝出后的一段时间内,这就是全球互联网行业内最大的事件,很多互联网企业都在忙着修补漏洞,用户则忙着修改自己的各种密码。
上一篇:
美国黑客迷上"黑"医院 信息安全如何保障?
下一篇:
如何保障“互联网+”时代网络数据安全?
地方动态
全国大学生创新发明大赛暨“英创工程”启动
政务热线建设发展与战略管理专题研修班在长沙圆满结训
中国信息协会会长王金平一行赴北京国脉互联信息顾问有限公司调研
杜链同志追思会在京举办
协会要闻
通知公告
•
全国大学生创新发明大赛暨“英创工程”启动
•
中国信息协会会长王金平一行赴通用航空分会调研
•
中国信息协会会长王金平一行赴《中国信息界》杂志社调研
•
中共中央党史和文献研究院第三研究部到协会调研
•
中国信息协会会长参加“星火行动”中小企业赋能计划第三届发布活动
•
政务热线建设发展与战略管理专题研修班在长沙圆满结训
•
关于举办2024数字政府论坛的通知
•
中国信息协会会长王金平一行赴北京国脉互联信息顾问有限公司调研
•
关于举办中国信息协会第四届信息技术服务业应用技能大赛大数据分析技术与应用(档案信息化专业方向)赛项的通知
•
中国信息协会组织产业互联网企业家赴东南亚考察
•
免责声明
•
第二十五届中国专利奖拟推荐项目公示
•
严 正 声 明
•
第二十四届中国专利奖拟推荐项目公示
•
严 正 声 明
•
第二十三届中国专利奖拟推荐项目公示
•
关于朱玉同志引咎辞职的通知
•
声明
•
关于撤销中国信息协会信息化发展研究院的通知
•
关于取消“2021年国有及大型企业数字化转型技术与应用大会”的通知