Linux 用户今天又得到了一个惊喜! Red Hat 安全团队在 Linux 中广泛使用的 Bash shell 中发现了一个隐晦而危险的安全漏洞。该漏洞被称作Bash Bug或Shellshock。 当用户正常访问,该漏洞允许攻击者的代码像在 shell 中一样执行,这就为各种各样的攻击打开了方便之门。而且,更糟糕的是该漏洞已经在 Linux 中存在很久了,所以修补某个 Linux 机器很容易,但是要全部修补,几乎不可能完成。 Red Hat 和 Fedora 已经发布了针对该漏洞的修补程序。该漏洞也会影响 OS X,不过苹果公司尚未发布正式的修补程序。 这个 Bash 漏洞可能比 Heartble
2014-09-25 12:41 Russell Brandom, wxy
如果你的公司依赖像OpenSSL这样的开源软件,是时候主动点了。 心脏流血漏洞让开源社区如芒在背。 ComputerWorld的Richi Jennings 抨击说又一个非常可怕的开源失败。(他是要做标题党么?)ZDNet的Steven J. Vaughan-Nichols不像是作秀反开源,却仍旧将心脏流血漏洞渲染为开源软件的最遭时刻。而最后,ZDNet的Chris Duckett则务实地倡议:商业公司(应该)筹集资金来避免心脏流血再次发生。 而实际上,企业资金并不是解决心脏流血事件的最终答案 。你才是! 想要避免开源失败的公司应该不仅仅是开源软件的用户,还要是贡献者。 贡献者乘坐
2014-06-07 08:00 geekpi
安全软件OpenSSL最近爆出名为心脏流血的重大安全漏洞,波及大量的网站,震惊了整个业界。而苹果则称旗下的iOS和OS X系统及服务均未受影响,那它究竟是如何躲过这一劫的呢?美国科技博客AppleInsider近日发布文章揭秘背后的故事。 以下是文章主要内容: 2011年,苹果告诉开发者,它将弃用包括OpenSSL在内的OS X通用数据安全架构(以下简称CDSA)。它称OpenSSL已经不合时宜。近三年后,OpenSSL被发现存在重大安全漏洞,大量的服务提供商及其用户遭受影响,而苹果则安然无事。 Heartbleed 苹果2011年6月宣布放弃使用OpenSSL的计划时,它并不
2014-04-19 19:44
OpenBSD创建了OpenSSL分支LibreSSL。 开发者表示,他们正忙碌着删除和重写OpenSSL,LibreSSL的主页因此非常简陋。LibreSSL现阶段只支持OpenBSD,在项目稳定之后 会考虑加入多平台支持,开发者宣称我们不想要伤透你们的心。 在OpenSSL的高危漏洞Heartbleed曝光之后,OpenBSD项目发起了清理 OpenSSL代码的行动,目前开发非常活跃。 OpenSSL采用的是Apache License 1.0 和4-clause BSD License,可以自由的创建分支。
2014-04-22 21:23
安全业界的研究员们每天都在寻找新的软件漏洞,但是已经很久没有象2014年这样出现数量如此之多或影响范围如此之广的漏洞了。回顾即将结束的2014年,一个又一个重量级漏洞接踵而至,受到影响的设备竟以百万计,系统管理员和用户简直要抓狂了。 今年被发现的几个重大安全漏洞震惊了整个互联网,令安全社区颜面尽失,因为这些漏洞并不是在新软件中被发现的,而是从已经推出了几年甚至几十年的老软件中被挖出来的。有几个漏洞可以说是普通用户的悲剧,因为这么多人使用了这么久的时间,人们一直以为它们是没有漏洞的。 SR Labs的柏林安全研究
2014-12-31 08:43 林靖东
2个多月前,整个互联网都被Heartbleed这个OpenSSL软件的安全漏洞所震惊。事后,尽管大多数公司都已经更新了其服务器软件,但不幸的是,还有不少人很快地就将这件事给遗忘掉了。据来自Errata Security的一份新报告称:仍有超过30万台服务器在运行着过时的、未打补丁的OpenSSL版本。也就是说,这些服务器直接向恶意攻击者敞开了大门。 人总是健忘的(包括给OpenSSL打Heartbleed补丁这件事)。 通过扫描服务器最常用的端口之一(443),Errata可得到服务器的反馈并获知其所使用的OpenSSL版本,而恶意攻击者也可对那些存有Heartbleed漏洞的服务
2014-06-23 10:29
OpenSuSE社区收到关于最近因为OpenSSL heartbleed漏洞的修复关于padding扩展代码的改动导致IronPort SMTP服务器出现异常阻断的bug报告。OpenSSL 1.0.1g不仅仅是修复了heartbleed漏洞,而且也增加了一些padding扩展的改动: #define TLSEXT_TYPE_padding 21 这直接导致SSL链接出错(至少在Ironports的设备上): SSL23_GET_SERVER_HELLO:tlsv1 alert decode error Padding扩展只会在ClientHello的长度在256---511字节之间时使用,理论上讲,削减ciphersuite到256字节以内可以是临时解决方案之一,或者是强制使用SSLv3,或者把上面的改动剔除并
2014-05-03 12:26
在OpenSSL的高危漏洞Heartbleed曝光之后,鉴于OpenSSL项目人手短缺反应迟钝,下游的OpenBSD项目发起了清理OpenSSL代码的行动,准备以OpenBSD的安全标准去移除和替换OpenSSL中的不安全代码。 OpenBSD的行动是独立发起的,并没有获得OpenSSL项目的配合,它也没有说明是否会将新代码递交到上游的OpenSSL。短短一周时间,OpenBSD项目开发者已经递交了超过250个补丁。
2014-04-22 09:42 linux
本月初,关于Heartbleed漏洞的消息在网络上引发了激烈的讨论。这个从OpenSSL项目中爆出的漏洞让攻击者可以在多种加密传输的网络数据中窃取用户信息,由于OpenSSL被广泛使用在Web服务器、邮件协议、通讯协议中,所以一时间受影响的用户数量难以估计。 OpenSSL里存在的致命漏洞SSL加密是通过开源方式实现的(Secure Sockets Layer:安全套接层)。也许很多人会质疑:使用开源手段开发的技术在某种程度上是一种错误?如果使用闭源会出现这样的结果吗?这些疑问不是一两句话能够解释得清楚,若想阻止下一个Heartbleed漏洞,不仅单纯的开源或者
2014-04-25 14:46
Google工程师Neel Mehta最早发现了 OpenSSL的Heartbleed漏洞,他现在首次披露了发现的经过。Mehta说,他当时正逐行的检查OpenSSL的SSL堆栈,他决定检查SSL堆栈的主要原因是今年早些时候发现了多个加密漏洞,其中一个是GoToFail,另一个是GnuTLS的缓冲溢出bug。 Mehta说,SSL堆栈漏洞发现的速度在加快,他很好奇SSL堆栈的安全现状,所以想去了解一下。他没有预计到主流媒体会对该bug产生如此大的热情,认为另一个同时发现该漏洞的安全公司的营销手段让Heartbleed吸引了主流媒体的关注。安全公司Codenomicon为这个漏洞制作了一个logo,起了
2014-10-13 10:56
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。
标签: