成都做网站,就选中成网站建设!专业四川网站建设,成都网站建设服务提供商
企业宣传网站建设、电子商务网站建设、OA办公系统。联系电话:028-66165255
企业宣传网站建设、电子商务网站建设、OA办公系统。联系电话:028-66165255
最新网站建设案例
文章详情
互联网安全漏洞层出不穷且越来越严重
如今,大多数网站已经修复了心脏流血漏洞,度过了一场严重的危机。只是,让人没有想到的是,仅仅几个月后,另一场安全危机又突然来临了,而且比上次还要严重。Red Hat 安全团队在 Bash Shell 中发现了一个超级严重的漏洞。这个漏洞被命名为“Shellshock”。据 FT 中文网的报道,此漏洞已经引起了国家安全机构的高度重视。
今年 4 月,开源加密库 OpenSSL 的 Heartbleed 安全漏洞震惊了互联网。由于 OpenSSL 被广泛用于互联网的安全套接层协议,因此,这次安全危机牵涉到诸多网站,还影响到一些知名的软件、操作系统和固件。据报道,漏洞爆出之日,17% 的可信 Https 站点都存在此安全隐患。当时,网站安全专家们称其为“灾难性”的,甚至是“互联网允许商业使用后所发现的最严重的漏洞”。
这个漏洞的出现,还暴露出一个令人震惊的事实。OpenSSL 获得了如此广泛的使用,但是,负责维护的只有四人(一人是全职),而且长期处于资金不足的状态。随后,微软、Google、Facebook 等科技巨头成立非盈利组织 Core Infrastucture Intiative,以资助网络上的重要项目。
要理解 Shellshock 的严重性,首先要知道什么是 Bash Shell。在类 Unix 系统中,Shell 是操作系统最外面的一层,管理用户与操作系统之间的交互。它类似于 DOS 下的 command,接收用户命令,然后调用相应的应用程序。Shell 有很多种,但是 Bash Shell 是大多数 Linux 系统和 Mac OS X 默认的 Shell。由于许多网络服务器使用了 Linux 系统,因此,这个漏洞的影响是相当广泛的。
Berkeley ICSI 的研究院 Nicholas Weaver 同样表达了悲观态度。他对 Verge 网站说,这个漏洞“隐蔽、丑陋,而且会伴随我们许多年。”
除了网络服务器之外,其它的联网设备也会受到影响,包括路由器、网络摄像头、智能灯泡等,因为它们的软件中大量使用了 Bash 脚本。ErrataSec 安全专家的 Robert Graham 认为 ,Shellshock 漏洞比心脏流血漏洞还要严重,而且,心脏流血漏洞只影响某个版本的 OpenSSL,Shellshock 漏洞存在的时间要长久多了,修复起来也更加困难。
一个主要的担忧是,攻击者可能利用 Shellshock 来传播蠕虫病毒,影响数量众多的计算机。攻击者也可能利用该漏洞突破公司的防火墙,造成难以估量的严重后果。
目前,Rat Hat 发布了一个补丁,但随后又警告说,补丁并不完整。不过,即使有了完整的补丁,修复如此众多的漏洞也是一件难事,特别是一些老设备是打不了补丁的。“我们永远无法完整统计出受到该漏洞影响的所有软件,” Gramham 对 Cnet 网站说,“当已知系统(比如你的网络服务器)打上补丁后,那些未知的系统仍然是有漏洞的。我们已经看到心脏流血漏洞的情况了:六个月过去了,数以万计的系统仍然存在安全漏洞。”
今年 4 月,开源加密库 OpenSSL 的 Heartbleed 安全漏洞震惊了互联网。由于 OpenSSL 被广泛用于互联网的安全套接层协议,因此,这次安全危机牵涉到诸多网站,还影响到一些知名的软件、操作系统和固件。据报道,漏洞爆出之日,17% 的可信 Https 站点都存在此安全隐患。当时,网站安全专家们称其为“灾难性”的,甚至是“互联网允许商业使用后所发现的最严重的漏洞”。
这个漏洞的出现,还暴露出一个令人震惊的事实。OpenSSL 获得了如此广泛的使用,但是,负责维护的只有四人(一人是全职),而且长期处于资金不足的状态。随后,微软、Google、Facebook 等科技巨头成立非盈利组织 Core Infrastucture Intiative,以资助网络上的重要项目。
要理解 Shellshock 的严重性,首先要知道什么是 Bash Shell。在类 Unix 系统中,Shell 是操作系统最外面的一层,管理用户与操作系统之间的交互。它类似于 DOS 下的 command,接收用户命令,然后调用相应的应用程序。Shell 有很多种,但是 Bash Shell 是大多数 Linux 系统和 Mac OS X 默认的 Shell。由于许多网络服务器使用了 Linux 系统,因此,这个漏洞的影响是相当广泛的。
Berkeley ICSI 的研究院 Nicholas Weaver 同样表达了悲观态度。他对 Verge 网站说,这个漏洞“隐蔽、丑陋,而且会伴随我们许多年。”
除了网络服务器之外,其它的联网设备也会受到影响,包括路由器、网络摄像头、智能灯泡等,因为它们的软件中大量使用了 Bash 脚本。ErrataSec 安全专家的 Robert Graham 认为 ,Shellshock 漏洞比心脏流血漏洞还要严重,而且,心脏流血漏洞只影响某个版本的 OpenSSL,Shellshock 漏洞存在的时间要长久多了,修复起来也更加困难。
一个主要的担忧是,攻击者可能利用 Shellshock 来传播蠕虫病毒,影响数量众多的计算机。攻击者也可能利用该漏洞突破公司的防火墙,造成难以估量的严重后果。
目前,Rat Hat 发布了一个补丁,但随后又警告说,补丁并不完整。不过,即使有了完整的补丁,修复如此众多的漏洞也是一件难事,特别是一些老设备是打不了补丁的。“我们永远无法完整统计出受到该漏洞影响的所有软件,” Gramham 对 Cnet 网站说,“当已知系统(比如你的网络服务器)打上补丁后,那些未知的系统仍然是有漏洞的。我们已经看到心脏流血漏洞的情况了:六个月过去了,数以万计的系统仍然存在安全漏洞。”
上一篇:未来几年手机流量将催生一批大互联网公司
下一篇:新iPhone6将17号对中国大陆销售5288元起