本篇文章845字,读完约2分钟

根据相关外国机构的初步检测和鉴定,世界上约有400万个网站和服务易受这一漏洞的攻击。 openssl今天发现了一个严重的漏洞,可能会影响使用https的一些服务和网站。利用此漏洞,攻击者可以监听加密流量并读取加密信息,如密码、信用卡账户、商业秘密和金融数据。

根据相关外国机构的初步检测和鉴定,世界上约有400万个网站和服务易受这一漏洞的攻击。

根据360个网络攻防实验室的初步统计,中国有109,725个网站可能受到该漏洞的影响。360专门针对该漏洞开发了一个在线检测工具,可通过以下网址进行检测:http://bobao.360/tools/index。

Https是一种在网络浏览器和网站服务器之间传输信息的协议,它以加密的形式发送通信内容,以确保用户上网时的信息不会被第三方截获和解密。Sslv2是一个古老的协议,官方建议禁用sslv2。微软IIS(视窗服务器):默认情况下,sslv2在IIS 7和更高版本中被禁止,许多客户端实际上不支持使用sslv2。然而,由于配置错误,许多网站仍然支持sslv2。

Openssl再爆"水牢"漏洞 多家银行和互联网公司受影响

无懈可击的漏洞可让攻击者破坏通过sslv2协议加密的https网站,并读取加密和传输的敏感通信,包括密码、信用卡账户、商业秘密、金融数据等。

360安全专家蔡玉光分析说,利用水牢的漏洞很难,水牢要求攻击者截取https加密的通信数据,破解数据应该发送到的服务器的密钥,这样攻击者就可以解密截取的数据。使用具有一定性能的计算集群破解密钥需要8个小时。租用一个计算集群的成本大约是400美元(基于租用亚马逊集群的成本)。但是一旦攻击成功,攻击者就可以破解他截获的所有加密数据。

Openssl再爆"水牢"漏洞 多家银行和互联网公司受影响

360的一些网站也使用openssl,但是360禁止在重要系统中使用不安全的加密包,所以它不受“水监狱”漏洞的影响。

蔡玉光建议受此漏洞影响的用户应确认其私钥不适用于其他支持sslv2的服务,包括web、smtp、imap和pop服务,并禁止在服务器端支持sslv2。此外,openssl可以更新。

标题:Openssl再爆"水牢"漏洞 多家银行和互联网公司受影响

地址:http://www.j4f2.com/ydbxw/5143.html