在
软件外包公司如果你还没有听说过,今天带了一块巨大的安全消息科技世界。
研究人员报告说,据估计,世界上66%的服务器已经被现实世界的密码错误,可能使所有类型的敏感数据的影响。这一切都被在线零售商,银行提供的网上银行–你的名字。
据丹·古丁的Ars Technica,缺陷是在加密软件库,大约有三分之二的Web服务器使用来确定自己的最终用户和防止密码,窃取银行凭证,和其他数据:
关于OpenSSL漏洞警告正值 对开源程序版本1.0.1g版本,用在Apache和Nginx Web服务器应用程序的默认密码库,以及各种操作系统、电子邮件和即时消息客户端。错误,已经存在于OpenSSL版本的产品两年多了,可以让人们恢复私有加密密钥在心的数字证书用于验证和加密数据传输的互联网服务器之间和最终用户。攻击在服务器日志中留下任何痕迹,所以没有办法知道错误一直积极利用。然而,风险是非凡的,给予公开密钥,密码的能力,和其他凭证,可用于未来的妥协。
在单一的软件或库臭虫来来去去,是固定的新版本,“谁发现了漏洞的研究人员在一个 写道星期一发表博客文章。然而这个bug已经留下了大量的私人密钥和其他秘密接触互联网。考虑到长时间曝光,剥削和攻击不留痕迹暴露缓解应认真对待。”
研究人员,在谷歌和软件安全公司Codenomicon工作人,说即使脆弱的网站安装OpenSSL的补丁,他们可能仍然容易受到攻击。风险是,攻击者已经利用该漏洞恢复数字证书的私钥的密码的可能性,用于管理网站,或身份验证Cookie和类似证书用于验证用户的网站限制部分。完全恢复从两年之久的漏洞也可能需要撤销任何暴露的钥匙,补发新的密钥,并使所有的会话密钥和会话cookie。的Tor匿名项目成员已经写了一个简短的bug 在这里,和 这一分析 提供有用的技术细节。
OpenSSL是目前互联网上最流行的开源加密库和TLS的实现。这是Apache,Nginx的默认加密引擎,根据Netcraft 百分之66网站运行。OpenSSL也船舶在各种各样的操作系统和应用程序,包括Debian的喘息,CentOS,Ubuntu,Fedora,OpenBSD,FreeBSD和Linux,openSUSE的分布。的 缺少边界检查 在传输层安全(TLS)处理心跳扩展影响的OpenSSL 1.0.1通过1.0.1f。
错误,这是正式称为CVE-2014-0160,使得攻击者获得64字节的内存从服务器或客户端计算机上运行一个脆弱的OpenSSL版本。尼克沙利文,在CloudFlare的系统工程师,内容分发网络, 修补OpenSSL漏洞上周他说,公司仍在评估私人钥匙出现在记忆的可能性和恢复攻击谁知道如何利用这一缺陷披露前。根据评估的结果,他说
软件外包公司可以决定更换其基本TLS证书或采取其他措施,”。
这是现实世界的缺陷,只有白帽子安全黑客可能偶然在野生型。