您的位置: 网界网 > 安全 > 正文

Heartbleed被夸大?专家测试该OpenSSL漏洞的严重程度

2014年04月16日 09:09:51 | 作者:邹铮编译 | 来源:网界网

摘要:专家对Heartbleed漏洞带来的风险进行了测试,测试结果发现攻击者可以获取私有服务器证书密钥,这证明了这个开源漏洞所造成的威胁。

标签
密钥
漏洞
安全
攻击
OpenSSL
Heartbleed

CNW独家译稿】专家对Heartbleed漏洞带来的风险进行了测试,测试结果发现攻击者可以获取私有服务器证书密钥,这证明了这个开源漏洞所造成的威胁。

云计算[注]网站安全公司CloudFlare建立了一个有效的网站,并邀请攻击者执行攻击来获取密钥。该公司表示,两名攻击者花了9个小时来发现私钥。这两名攻击者发送了数百万恶意请求来利用Heartbleed漏洞,以获取密钥。

系统集成商Accuvant公司首席安全顾问Rob Dixon表示,如果攻击者持有私有数字证书密钥,他们就可以欺诈该网站,这是支持各种攻击的有用技术。

Dixon表示:“我们已经看到可能敏感的内存转储和信息,但我的理解是,这可能是完全随机的,或者只是内存堆栈的最后几个字节。”

不过,Dixon和其他安全专家认为Heartbleed是一个威胁的漏洞,系统管理员需要理解并解决。这个OpenSSL漏洞已经得到了广泛的关注,因为该漏洞给攻击者提供了高达64K的web服务器的工作内存。这种随机内存块中包含各种数据,并可能包含密码,安全专家呼吁互联网用户更改其用于流行网站和云计算服务的密码。

有漏洞的OpenSSL部署也被用于很多网络安全产品中,包括安全设备、路由器和交换机。这些产品的制造商正在发布更新来修复这个安全漏洞,但这个漏洞通常位于没有面向互联网的管理控制台中。设备也在内存中携带和保存着很少的信息。

Dixon表示:“从我执行渗透测试和漏洞评估的经验来看,我们经常可以看到在这种底层基础设施中,很多第三方补丁存在滞后性,而在这种情况下,这种滞后性可以帮助一些企业。”

安全专家更加担心私有服务器证书密钥,要求系统管理员部署该OpenSSL补丁,并撤销和重新发布服务器证书。这两个流行的开源web服务器(Nginx和Apache)都支持几十万网站和服务。

CloudFlare表示,很多公司已经收到了关于该漏洞的预警信息,让他们在公开发布前有足够的时间修复其漏洞。Akamai Technologies使用了自定义内存分配机制来减少私钥被曝光的可能性,但该公司表示,他们仍然在替换其客户SSL密钥作为预防措施。Akamai公司首席技术官Andy Ellis表示,该公司的自定义更新并不是百分百的万无一失。

“虽然我们相信,攻击的可能性微乎其微,并且,被暴露的证书数量也很小,我们不能完全排除这种可能性,”Ellis表示,“因此,我们会继续替换客户SSL密钥,尽可能降低风险。”

与此同时,美国国家安全局已经完全否认他们知道OpenSSL漏洞以及使用它来支持其监测活动。上周五,彭博社报道,两个不愿意透露姓名的人表示,NSA在过去两年中利用了这个漏洞。

根据美国国家情报总监办公室上周发表的声明表示:“关于NSA或其他任何政府部门在2014年知道所谓的Heartbleed漏洞的报道都是不正确的。在这个OpenSSL的漏洞公开之前,联邦政府并不知道这个漏洞的存在。”

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

[责任编辑:鹿宁宁 lu_ningning]

我也说几句