亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　在備受關(guān)注的Heartbleed漏洞被曝光的一個(gè)多月之后，調(diào)查發(fā)現(xiàn)這個(gè)嚴(yán)重的OpenSSL漏洞仍然存在于數(shù)十萬(wàn)臺(tái)服務(wù)器以及一些SSL端口中，這主要是因?yàn)檎麄€(gè)行業(yè)的響應(yīng)工作不到位。

　　這個(gè)Heartbleed漏洞早在2011年12月就被植入了OpenSSL代碼，直到2014年4月初才被發(fā)現(xiàn)，該漏洞是因?yàn)闆](méi)有對(duì)廣泛使用的OpenSSL加密庫(kù)中的TLS heartbeat extension處理進(jìn)行漏洞檢查而造成的。

　　因?yàn)镠eartbleed漏洞，存儲(chǔ)在數(shù)以百萬(wàn)計(jì)的服務(wù)器和客戶端的內(nèi)存中的敏感數(shù)據(jù)都可能被泄露。并且，雖然沒(méi)有證據(jù)表明該漏洞在曝光前被成功利用，或者說(shuō)，在大多數(shù)情況下該漏洞值得攻擊者進(jìn)行利用，但在過(guò)去一個(gè)月中，Heartbleed已經(jīng)被用于真正的攻擊和模擬攻擊中。

　　然而，盡管信息安全行業(yè)努力宣傳Heartbleed的危害性，該漏洞仍然廣泛存在。上周Errata Security公司首席執(zhí)行官Robert Graham在博客文章中稱，他掃描了互聯(lián)網(wǎng)的端口443，發(fā)現(xiàn)超過(guò)30萬(wàn)臺(tái)系統(tǒng)仍然容易受到Heartbleed的影響，雖然這比他一個(gè)月前估計(jì)的60萬(wàn)臺(tái)系統(tǒng)減少了一半，但這仍然是一個(gè)龐大的數(shù)據(jù)。Graham指出他并沒(méi)有涵蓋其他已知SSL端口(例如SMTP)，另外，這個(gè)月他發(fā)現(xiàn)支持SSL的系統(tǒng)減少了約600萬(wàn)臺(tái)。

　　“這些數(shù)字有些奇怪，上個(gè)月，我發(fā)現(xiàn)2800萬(wàn)臺(tái)系統(tǒng)支持SSL，但這個(gè)月我只看到2200萬(wàn)臺(tái)系統(tǒng)，”Graham表示，“我懷疑，這次人們檢測(cè)到了我的Heartbleed‘攻擊’，并在我的掃描完成之前屏蔽了我。或者，另外一個(gè)原因可能是，我的ISP(互聯(lián)網(wǎng)服務(wù)供應(yīng)商)可能出現(xiàn)了流量擁塞的情況，從而導(dǎo)致這個(gè)數(shù)字減少。”

　　令人震驚的是，雖然企業(yè)和用戶都在積極采取措施來(lái)緩解Heartbleed，但這個(gè)過(guò)程中卻充斥著各種基本錯(cuò)誤。上周，分析公司NetCraft公布了一份調(diào)查結(jié)果顯示，只有14%受該漏洞影響的網(wǎng)站執(zhí)行了完整的三個(gè)步驟來(lái)緩解這個(gè)問(wèn)題：更換其SSL證書(shū)、撤銷(xiāo)舊證書(shū)以及使用不同的私鑰簽發(fā)新證書(shū)。

　　Netcraft發(fā)現(xiàn)，57%的受影響網(wǎng)站沒(méi)有采取任何行動(dòng)來(lái)響應(yīng)Heartbleed。另外21%的網(wǎng)站使用新私鑰重新簽發(fā)了證書(shū)，但沒(méi)有撤銷(xiāo)舊證書(shū)。最后的5%使用舊私鑰簽發(fā)新證書(shū)，這是一個(gè)嚴(yán)重的錯(cuò)誤，Netcraft發(fā)現(xiàn)某些加拿大政府網(wǎng)站(包括魁北克省汽車(chē)保險(xiǎn)局)就犯了這個(gè)錯(cuò)誤，即使在他們受到Heartbleed相關(guān)攻擊之后。

　　“其網(wǎng)站之一secure.saaq.gouv.qc.ca簽發(fā)了新的證書(shū)來(lái)響應(yīng)Heartbleed漏洞，以前的漏洞在4月29日被撤銷(xiāo)，”Netcraft表示，“CRL撤銷(xiāo)狀態(tài)列出的原因是‘keyCompromise(密鑰泄露)’，但證書(shū)頒發(fā)機(jī)構(gòu)仍然允許使用相同的私鑰來(lái)簽發(fā)新證書(shū)。這意味著持有被泄露證書(shū)的人仍然模擬新證書(shū)。”

　　Heartbleed漏洞的影響范圍不僅限于Web服務(wù)器。工業(yè)控制系統(tǒng)計(jì)算機(jī)應(yīng)急響應(yīng)小組(ICS-CERT)上周發(fā)布了一份公告，警告Heartbleed漏洞存在于Digi International制造的五款產(chǎn)品中，Digi International是機(jī)器對(duì)機(jī)器產(chǎn)品和服務(wù)供應(yīng)商，其產(chǎn)品和服務(wù)廣泛用于很多SCADA和ICS環(huán)境。

　　加拿大手機(jī)巨頭BlackBerry也被迫更新其多款產(chǎn)品，包括其用于Android和iOS的Blackberry Messenger應(yīng)用、BlackBerry Enterprise Service 10和BlackBerry Link，與蘋(píng)果、甲骨文、西門(mén)子等供應(yīng)商一樣，該公司已經(jīng)發(fā)布了Heartbleed相關(guān)的安全補(bǔ)丁。

　　與普通用戶相比，企業(yè)和政府機(jī)構(gòu)的響應(yīng)可以說(shuō)是快捷和高效的。根據(jù)身份盜竊服務(wù)供應(yīng)商LifeLock公司對(duì)2000名美國(guó)成年人的網(wǎng)上調(diào)查顯示，在聽(tīng)說(shuō)過(guò)Heartbleed的受訪者中，近一半的人還沒(méi)有更改其密碼。當(dāng)被問(wèn)到為什么時(shí)，44%的受訪者表示，他們根本不關(guān)心這個(gè)漏洞帶來(lái)的安全隱患，另外12%認(rèn)為更改密碼是“大工程”。

　　雖然很多最大科技公司最近承諾注資數(shù)百萬(wàn)來(lái)幫助保護(hù)OpenSSL以及其他重要開(kāi)源項(xiàng)目抵御下一個(gè)Heartbleed，但目前的這個(gè)漏洞顯然還沒(méi)有得到控制。本周在卡耐基梅隆軟件工程研究所CERT的問(wèn)答環(huán)節(jié)中，工作人員Jason McCormick建議受到該漏洞影響的企業(yè)升級(jí)到最新的OpenSSL版本，并進(jìn)行徹底的風(fēng)險(xiǎn)評(píng)估以發(fā)現(xiàn)該問(wèn)題的嚴(yán)重程度。

　　“最大的問(wèn)題是，接下來(lái)該怎么做。對(duì)于這個(gè)問(wèn)題，并沒(méi)有放之四海而皆準(zhǔn)的解決方案，企業(yè)將需要根據(jù)自己的風(fēng)險(xiǎn)承受能力和成本來(lái)做出決定，”McCormick表示，“所有企業(yè)都應(yīng)該盡快對(duì)易受到Heartbleed影響的聯(lián)網(wǎng)系統(tǒng)重新發(fā)布證書(shū)。私鑰材料(可用于解密捕捉數(shù)據(jù)或模擬網(wǎng)站)的潛在泄露讓這個(gè)工作變得尤為重要。”