自发现危险的心脏滴血OpenSSL漏洞已经过去了两年半多的时间,但是心脏滴血仍然活跃在网络中,看来,许多组织机构都没有修复好这一严重的安全漏洞。
这是互联网历史上最大的风暴之一,它在2014年四月被发现之时就已影响了多达世界三分之二的服务器的核心安全,即50万台服务器。
然而,即使在2年零9个月后的今天,严重的Bug仍然影响了超过199,500个系统,根据Shodan最新发表的一份新的报告,仅仅一个搜索引擎就能扫描被攻击的设备。
超过199,500的系统仍然存在Heartbleed风险
Heartbleed(CVE-2014-0160)是一个在OpenSSL上实现的TLS / DTLS心跳扩展的严重bug,允许攻击者读取受影响的服务器的内存部分,它允许攻击者读取受影响服务器的内存部分,潜在地揭示用户不打算透露的数据。
根据Shodan的首席执行官John Matherly说,199,500服务仍然存在未打补丁的OpenSSL Heartbleed漏洞实例。
受Heartbleed影响最严重的国家仍然是美国,其次是韩国,中国,德国,法国,俄罗斯联邦,英国,印度,巴西和意大利。
Matherly发现发现 Heartbleed利用的服务有42,032在美国,15,380在韩国,14,116在中国,14,072在德国。
容易受到OpenSSL的bug影响的顶级组织是SK宽带和亚马逊,并且大约有75,000的非安全性服务使用过期的SSL证书,运行Linux 3.x。
Heartbleed是一个经常存在高危性安全问题的的野生漏洞,而且大家都知道,现在这个bug发现已经超过两年半了,任何人都可以简单地使用它进行攻击仍然受影响的系统。
如果能够利用人们可以想象的危险和损害所造成的bug,并且受影响服务器达到将近200,000个,这确实是一个令人不安的数字。
软件bug来来去去时有时无,但这一缺陷更为严重,可能是近年来最大的互联网缺陷,因为它留下了很多服务器的内存内容,最敏感的数据存储在哪,恰恰哪里就暴露在攻击者眼中。
为了保护您的系统免受Heartbleed影响的步骤是什么?
大概需要三个步骤来修复Heartbleed bug。
1. 补丁:更新您的软件到最新的OpenSSL版本,谢天谢地几乎所有的组织都完成了这一步。
2. 创建新的私钥:创建新的私钥将防止那些利用修补之前的漏洞来窥探你加密数据的攻击者。
3. 安全证书补发:这一步将消除任何攻击者欺骗组织或者欺骗诱骗客户的能力。
发表评论