瑞星推出免費網站安檢OpenSSL漏洞服務
2014-04-11 09:19:20近日,國際知名安全協議OpenSSL的官方網站發布了一個安全公告,稱OpenSSL1.0.1f版本中存在一個嚴重漏洞(CVE-2014-0160),可導致網站服務器被黑客監聽,用戶的敏感信息被泄露。據媒體報道,目前國內約有3萬余個網站受此漏洞影響,其中包括銀行、電商、金融及社交等涉及用戶關鍵信息的網站。
瑞星安全專家介紹,該漏洞被業內稱為“心臟出血”漏洞,黑客可利用該漏洞獲得大量的用戶真實姓名、年齡、性別、手機號碼、常用地址、身份證號碼等,甚至連網銀賬密、購物網站支付密碼等信息也可竊取。一旦網站因OpenSSL漏洞遭受黑客攻擊,網民將在毫不知情的情況下面臨隱私信息泄露及財產被盜的風險。目前,瑞星公司已緊急推出針對網站OpenSSL漏洞的免費在線檢測服務(地址http://loudong.rising.com.cn/openssl/),廣大站長及網站管理員只需輸入網站域名,即可進行自動分析檢測,一旦發現漏洞可盡快修補。
瑞星OpenSSL漏洞在線檢測系統
據了解,OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議,它囊括了主要的密碼算法、常用密鑰和證書封裝管理功能以及SSL協議,并提供了豐富的應用程序供測試或其他目的使用。目前,占據全球三分之二市場份額的Apache和Nginx服務器都在使用OpenSSL,此外,OpenSSL還被大量應用于電子郵件客戶端、聊天軟件等互聯網應用軟件中。
根據瑞星互聯網攻防實驗室出具的安全報告顯示,本次OpenSSL心臟出血漏洞存在于ssl/dl_both.c文件中,是Heartbleed模塊的一個Bug所致。漏洞可導致黑客遠程讀取網站服務器長達64K的數據,而這些數據中極有可能存儲了用戶的網銀賬號、訂單信息、身份信息及支付密碼等,黑客只需利用該漏洞反復進行內存記錄讀取,大量截獲用戶的敏感數據。
瑞星安全專家介紹,本次被曝的OpenSSL漏洞針對1.0.1-1.0.1f及1.0.2-beta1,其他版本不受影響。建議廣大站長及網站管理員盡快修復OpenSSL漏洞,重新生成SSL私鑰,替換SSL證書。如果發現網站已遭黑客攻擊,則應立即提醒用戶盡快更改密碼,以避免因賬號被盜遭受損失。
