OpenSSL曝重大安全漏洞“心脏出血”可致网购支付密码泄露

  • 星期二, 8日 4月, 2014
  • 04:53上午

安全协议OpenSSL今日爆出本年度最严重的安全漏洞“Heartbleed”,此漏洞在黑客社区中被命名为“心脏出血”,该漏洞曝光后,WP Hostz技术团队马上对我们所有的服务器进行了全面的检查,并对受到该漏洞影响的服务器进行了安全补丁升级,已经修复了该漏洞。出于安全方面的考虑,我们希望客户能够经常修改自己的登陆密码,不仅仅是我们网站的登陆密码,而是所有您注册过账号的网站都应该经常更换密码。

关于OpenSSL和“心脏出血”漏洞的更多信息

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。

利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到https开头的网址的用户登录账号密码,包括大批网银、购物网站、电子邮件等。业界公认的权威安全分析系统ZoomEye扫描结果显示,全球有55%的服务器受到该漏洞的影响,在中国境内至少有33303台服务器受本次OpenSSL漏洞影响。网易、微信、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、360应用、京东(滚动资讯)、YY语言……从消费到通讯、社交,国内知名网站几乎无一幸免。

« 返回

Powered by WHMCompleteSolution