自从OpenSSL的关键漏洞心脏出血被发现至今已经有两年半了,但该漏洞仍然活跃。这是因为很多机构都没有采取适当的措施来修补这一严重的安全漏洞。
心脏出血漏洞是互联网历史上最大的漏洞之一。当它在2014年4月被发现时,就已影响了当时世界上超过三分之二的服务器(50万台)。
然而,根据今天在专门对设备漏洞进行扫描的搜索引擎Shodan上发布的一篇新报告的数据显示, 2年9个月已经过去了,这个关键漏洞仍影响着超过199500个系统。
超过199500个系统仍存在心血漏洞
Heartbleed (编号CVE-2014-0160)是TLS/DTLS heartbeat扩展的OpenSSL实现过程中的一个严重漏洞,会使攻击者可读取受攻击服务器的部分内存,可能会泄漏服务器本不想展示的用户数据。
根据Shodan首席执行官John Matherly的说法,由于未对OpenSSL的实施环节打补丁,大约199500个服务仍存在Heartbleed漏洞。
美国仍是受Heartbleed影响最严重的国家,排在其后的是韩国、中国、德国、法国、俄罗斯、英国、印度、巴西和意大利。
Matherly发现在美国有42032个存在heartbleed漏洞的服务,在韩国有15380个,在中国有14116个,在德国有14072个。
现仍存在该OpenSSL漏洞的顶尖机构包括了SK Broadband和Amazon.com,其中另有约75000个服务使用过期的SSL证书,并且运行的是Linux 3.x系统。
心脏出血是诸多未被修复的漏洞之一,而现在该bug已经存在2年半的时间,所有人都知晓这一事实,任何人都可以轻易地用它对那些未加防范的系统展开攻击。
将近200000的数量级很令人烦恼,可以想象,如果用这个bug来进行攻击,会造成怎样的破坏。
软件的bug是很常见的,但这个漏洞却尤其危险,而且在最近的历史上很可能是互联网最大的漏洞,因为它会将服务器内存暴露给攻击者,而大多数敏感数据都存储在这里。
怎样保护你的系统免受Heartbleed攻击?
修复Heartbleed这个bug大概需要以下三步:
1、打补丁:将你的OpenSSL软件更新到最新版;令人欣慰的是,几乎所有机构都已经做到了这一步。
2、创建新的私钥:创建新的私钥可以防止此前通过该漏洞已攻破你的系统的攻击者继续监视你的加密数据。
3、重新颁发安全证书:这一步将消除攻击者欺骗机构及其用户的能力。
稿源: The haker news
