瑞星推出免費網(wǎng)站安檢OpenSSL漏洞服務(wù)
2014-04-11 09:19:20近日,國際知名安全協(xié)議OpenSSL的官方網(wǎng)站發(fā)布了一個安全公告,稱OpenSSL1.0.1f版本中存在一個嚴(yán)重漏洞(CVE-2014-0160),可導(dǎo)致網(wǎng)站服務(wù)器被黑客監(jiān)聽,用戶的敏感信息被泄露。據(jù)媒體報道,目前國內(nèi)約有3萬余個網(wǎng)站受此漏洞影響,其中包括銀行、電商、金融及社交等涉及用戶關(guān)鍵信息的網(wǎng)站。
瑞星安全專家介紹,該漏洞被業(yè)內(nèi)稱為“心臟出血”漏洞,黑客可利用該漏洞獲得大量的用戶真實姓名、年齡、性別、手機號碼、常用地址、身份證號碼等,甚至連網(wǎng)銀賬密、購物網(wǎng)站支付密碼等信息也可竊取。一旦網(wǎng)站因OpenSSL漏洞遭受黑客攻擊,網(wǎng)民將在毫不知情的情況下面臨隱私信息泄露及財產(chǎn)被盜的風(fēng)險。目前,瑞星公司已緊急推出針對網(wǎng)站OpenSSL漏洞的免費在線檢測服務(wù)(地址http://loudong.rising.com.cn/openssl/),廣大站長及網(wǎng)站管理員只需輸入網(wǎng)站域名,即可進行自動分析檢測,一旦發(fā)現(xiàn)漏洞可盡快修補。
瑞星OpenSSL漏洞在線檢測系統(tǒng)
據(jù)了解,OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,它囊括了主要的密碼算法、常用密鑰和證書封裝管理功能以及SSL協(xié)議,并提供了豐富的應(yīng)用程序供測試或其他目的使用。目前,占據(jù)全球三分之二市場份額的Apache和Nginx服務(wù)器都在使用OpenSSL,此外,OpenSSL還被大量應(yīng)用于電子郵件客戶端、聊天軟件等互聯(lián)網(wǎng)應(yīng)用軟件中。
根據(jù)瑞星互聯(lián)網(wǎng)攻防實驗室出具的安全報告顯示,本次OpenSSL心臟出血漏洞存在于ssl/dl_both.c文件中,是Heartbleed模塊的一個Bug所致。漏洞可導(dǎo)致黑客遠程讀取網(wǎng)站服務(wù)器長達64K的數(shù)據(jù),而這些數(shù)據(jù)中極有可能存儲了用戶的網(wǎng)銀賬號、訂單信息、身份信息及支付密碼等,黑客只需利用該漏洞反復(fù)進行內(nèi)存記錄讀取,大量截獲用戶的敏感數(shù)據(jù)。
瑞星安全專家介紹,本次被曝的OpenSSL漏洞針對1.0.1-1.0.1f及1.0.2-beta1,其他版本不受影響。建議廣大站長及網(wǎng)站管理員盡快修復(fù)OpenSSL漏洞,重新生成SSL私鑰,替換SSL證書。如果發(fā)現(xiàn)網(wǎng)站已遭黑客攻擊,則應(yīng)立即提醒用戶盡快更改密碼,以避免因賬號被盜遭受損失。
