计算机安全专家建议管理员修补一个软件库中的严重漏洞,该软件库被数百万网站用于加密敏感通信。
这个昵称为“心脏出血”的漏洞在《血色家族》的几个版本中都有出现OpenSSL,一个支持SSL(安全套接字层)或TLS(传输安全层)加密的加密库。大多数网站要么使用SSL,要么使用TLS,这在浏览器中用一个挂锁符号表示。
+也在网络世界:足球竞猜app软件一个修复Windows 8的严肃计划|员工每天都会犯的6个办公桌安全错误+
这个缺陷是在2011年12月引入的,已经在周一发布的OpenSSL 1.0.1g中得到了修复。
OpenSSL的漏洞版本是1.0.1到1.0.1f,只有两个例外:OpenSSL 1.0.0分支和0.9.8网站由发现问题的研究人员建立的。
如果被利用,该漏洞可能允许攻击者监控用户和Web服务之间传递的所有信息,甚至解密他们收集的过去的流量。
研究人员写道:“这使得攻击者能够窃听通信,直接从服务和用户那里窃取数据,并冒充服务和用户。”
这个漏洞是由来自澳大利亚的三名研究人员发现的Codenomicon以及谷歌安全部门的尼尔•梅塔(Neel Mehta)。
这个问题的范围很广,因为许多现代操作系统都被怀疑有受影响的OpenSSL版本。
他们写道,可能存在OpenSSL漏洞的操作系统包括Debian Wheezy、Ubuntu 12.04.4 LTS、CentOS 6.5、Fedora 18、OpenBSD 5.3、FreeBSD 8.4、NetBSD 5.0.2和OpenSUSE 12.2。
“老版本”的Debian Squeeze和Suse Linux企业服务器不会受到攻击。
OpenSSL还支撑了两个最广泛使用的Web服务器,Apache和nginx。他们写道,代码库还被用于保护电子邮件服务器、聊天服务器、虚拟专用网络和其他网络设备。
另一个人说,问题CVE-2014-0160是在处理TLS心跳扩展时缺少边界检查,然后可以使用心跳扩展查看已连接服务器上的64K内存咨询。
它允许攻击者获得用于加密通信的私钥。有了这些密钥,攻击者也可以解密他们过去收集的通信。
在一次攻击中,攻击者只能访问64K的内存,但是攻击者可以“继续重新连接,或者在一个活跃的TLS连接中,继续请求任意数量的64kb内存块,直到足够的机密被揭露,”该网站说。
目前还不清楚在过去的两年里,攻击者是否利用了这个漏洞,该漏洞在周一刚刚被公开。但研究人员写道,使用该漏洞的攻击“没有在日志中留下任何异常情况的痕迹”。
建议管理员应用最新版本的SSL,撤销任何被破坏的密钥并重新发出新密钥。
发送新闻提示和评论到jeremy_kirk@idg.com。在Twitter上关注我:@jeremy_kirk