在一年前的4月7日,openssl发布安全公告报告了新的安全漏洞cve-2014-0160,被称为“tls heartbeat read overrun”当时这个漏洞是heartbeat ssl漏洞,而很多新闻媒体将其称为heartbleed(心脏出血)漏洞
在heartbleed出现一年后,它仍然是个问题,因为旧的漏洞从来不会真正死去heartbleed仍带来风险是因为有些企业还没有修复该漏洞惠普的2015年网络风险报告发现,44%的漏洞泄露事故是因为未修复的老漏洞问题但事实是,修复很困难,但对于heartbleed等脑膜瘤二级重大漏洞问题,企业其实做了很多修复工作
一年后的“心脏出血”
解救“心脏出血”行动
“心脏出血”带来不可估量的威胁
一般来说,有些漏洞不会被公开利用,但heartbleed并不是这样在4月8日,加拿大税务局(cra)在受到heartbleed攻击后被迫关闭报税服务这次攻击事故导致加拿大政府被迫延长报税截止日期,以弥补cra关闭其网站的时间
crowdstrike公司联合创始人兼首席技术官dmitri alperovitch表示,虽然推荐企业替换ssl证书,但不替换证书并不一定意味着企业仍易受到heartbleed攻击虽然venafi声称,其调查的大多数网站仍然面临heartbleed风险,但qualys赞助的s如何治疗脑膜瘤sl pulse网站目前报告称只有0.3%的网站目前面临heartbleed风险
由于openssl是开源的,很多很快就批评开源模式是heartbleed漏洞的核心对此,在linux基金会领导下的开源社区凝聚在一起,并推出了核心关键基础设施(cci)举措cci收到了来自adobe、bloomberg、惠普、vmware、rackspace、netapp、微软、英特尔、ibm、谷歌、富士通、facebook、戴尔、亚马逊和思科的550万美元以保护开源基础设施和开发工作cci现在正向openssl开发人员提供资金以帮助防止另一个heartbleed漏洞的出现
heartbleed并不是历史上最严重的漏洞,它引人注意在脑膜瘤术后于围绕它的各种炒作现在,openssl和关键基础设施面临比以往更严格的审查,这是一件好事情
如果heartbleed负责任地向受影响的供应商,并在4月7日公布之前提供补丁,很多围绕heartbleed的悲剧都可以避免但问题是有些供应商提前得到了关于heartbleed的通知,包括谷歌和cloudflare,而其他供应商则没有heartbleed的这种不一致披露过程增加了这个漏洞的威胁性,并且让全球供应商和服务器管理员都疯狂地修复该漏洞以避免漏洞利用
谷歌安全研究人员neil mehta也发现了这个问题,mehta和codenomicon都因发现heartbleed而获得2014年黑帽大会pwnie大奖但这个漏脑膜瘤出血洞并不是名字引人注目,它也是个非同一般的安全问题openssl是广泛部署的开源技术,主要用于端点、移动设备和服务器openssl的承诺是提供安全套接字层/传输层安全(ssl/tls)加密库来保护数据传输heartbleed的危险在于,ssl/tls可以被解密,让用户处于危险之中
在去年4月16日,加拿大皇家骑警(rcmp)宣布已经逮捕涉嫌参与cra攻击事件的19岁学生在2014年4月,修复heartbleed的总成本可能已经达到5亿美元虽然我们可能永远无法知道heartbleed的真正总成本,但这带来了对开源软件安全性进行审查的新时代
在过去一年里,openssl项目本身已经发布了多个安全更新,他们投入更多资源来审查该代码以提脑膜瘤头痛高安全性最新的openssl更新发布于3月19日,提供了12个安全修复在一年之后,heartbleed风险仍然存在在新的报告中,安全供应商venafi声称,74%的全球2000强企业仍然面临heartbleed风险venafi的数据不只是关于更新了最新openssl的服务器,也是关于替换ssl/tls证书
heartbleed是安全公司codenomicon提出的名字,他们以笔者从未见过的方式来命名该漏洞,这也成为其他安全厂商纷纷试图效仿的典范这个heartbleed有自己的标识,还有容易理解的描述和实际风险
白癜风注意什么白癜风最好用中药治疗转载请注明:http://www.uzngq.com/zlyf/554.html
