Heartbleedbug:如何避免这种大规模的网络攻击

更新时间: Oct 01, 2019  作者:刘真挚林  来源:

自昨天发布修复程序以来,一个错误已经在互联网上爬行了两年。自2011年12月开始引入称为OpenSSL的系统以及自OpenSSLv1.0.1以来的野外,这个错误自2012年3月14日开始在网上发布。但为什么它本周才显现出来,你能做什么?

好消息是已经发布了这个bug的补丁-坏消息是黑客利用这个漏洞已经成为未知数量的个人。另一个坏消息是,越来越多的网站仍然在其网络上运行未经修补的SSL版本1.0.1软件。哪些网站受到影响?

社区创建的Github文件显示前1000个网站在世界上(感谢小费,弗兰克!),确定哪些网站使用的SSL版本仍然可以使用该版本。此列表中包括Flickr,Archive.org,Yahoo.com(和YahooMail),Imgur,OKCupid,XDA-Developers,Steam(SteamCommunity.com),Eventbrite,500px和Slate等网站。

Google,Facebook,YouTube和维基百科等网站目前似乎不容易受到攻击。根据谦喜彩票注册OpenSSL官员的说法,OpenSSL的1.0.1和1.0.2-beta版本都受到影响,包括版本1.0.1f和1.0.2-beta1。

发现此漏洞的人是GoogleSecurity的NeelMehta,而Chromium和ACM的编码员AdamLangley和BodoMoeller准备了OpenSSL1.0.1g中包含的修复程序。使用OpenSSL1.0.2的组仍然会受到bug的影响,直到版本1.0.2-beta2发布。这个bug有什么作用?

非常清楚:这个bug只是在两年后才发现的在野外。目前还不知道已经完成的损坏程度。

OpenSSL是一种加密软件-这意味着OpenSSL是用于保护其他软件免受公众攻击和恶意攻击的软件。HeartbleedBug,因为它被命名,能够一次收集64千字节(64kb)的数据,在他们想要的数据之前多次运行此漏洞。

这个错误有多重要?正如Twitter上的@KrisJelbring(Mojang的开发人员KristofferJelbring)所指出的那样,Heartbleed的出现迫使他们放弃对传统Minecraft发射器的所有支持。Mojang已经这样做了,因为就目前而言,他们无法确保安全登录。在亚马逊的负载均衡服务更新之前,Mojang将暂停其所有服务。

更新:Mojang使用的亚马逊服务器此时已更新,所有Minecraft服务器现已重新上线。

Mojang也明确表示虽然这个bug从未允许黑客瞄准特定用户,但是没有办法保证任何一个用户信息都没有被泄露。你能做什么?

你可以避开上面列出的网站-或者检查你喜欢的网站Filippo的Heartbleed检查器-直到他们发送通知他们用最新版本的OpenSSL修补他们的服务器。我们将更新这篇文章,主要网站让人们知道他们已经加载了最新版本的软件。

否则-准备更改密码。对于仍然受影响的站点,我们建议在修补程序到位之前暂缓密码更改,因为这些站点在今天与首次加载OpenSSLv1.0.1时一样容易受到攻击。

VIA:Heartbleed

(责任编辑:谦喜彩票注册)

本文地址:http://www.aixiegou.com/yidongkaifa/qita/201910/2626.html

上一篇:iTunes的销售额下降了14%-是Beats的时候了! 下一篇:没有了