|
供應商緩慢補丁OpenSSL漏洞-灰鴿子使用教程,遠程控制軟件
澳大利亞的系統管理員正遭受“脆弱性緩解疲勞”。
幾個關鍵技術供應商尚未完全補丁對OpenSSL加密庫用于安全的網絡通信,領先澳大利亞安全研究人員警告說。
OpenSSL Heartbleed漏洞,第一個向公眾透露今年4月,使得攻擊者利用被認為是安全的,什么加密通信的注意。
更徹底的審計后的開放源代碼加密庫,進一步發現了漏洞,可能導致拒絕服務攻擊和任意代碼執行。
產品列表OpenSSL漏洞的影響又長又深,從服務器到客戶端,數據庫備份系統和打印機;移動電話、虛擬機監控程序——幾乎任何產品或服務可能的。
信息安全分析師Marco Ostini在澳大利亞工作的計算機緊急響應小組(AusCERT)昆士蘭大學,說OpenSSL漏洞不限于服務器端計算。他們接近無處不在,影響著幾乎所有的操作系統,他說。灰鴿子下載
這包括客戶以及嵌入式設備如家庭寬帶路由器,其中許多尚未得到固件補丁OpenSSL的弱點。
1.jpg (16.52 KB, 下載次數: 496)
下載附件
2014-6-30 08:56 上傳
其他網絡設備如智能電視、無線無線接入點,工業SCADA控制系統、支付網關、自動柜員機、銷售點系統可能仍然脆弱,Ostini警告說,和修復速度太慢了。
“補丁的緩慢釋放一些供應商,然后緩慢推進的補丁,所以很多產品從系統管理員和普通用戶在家里,似乎強調Heartbleed和它的表親將導致悲傷一段時間。它最終會被儀器在一些重大違反”Ostini告訴iTnews。
谷歌的Android手機操作系統版本4.1.1占三分之一的設施,但尚未對OpenSSL漏洞補丁。
黑莓是另一個供應商,是很晚修補它的許多脆弱的產品,Ostini指出。
”在這一過程中(OpenSSL的修補漏洞)憑證,私鑰和其他敏感數據幾乎肯定已經被盜,“Ostini說。
的規模問題是加劇各方整流的困難問題,他說。
“考慮窮人的困境sysadmin的工作是容易Heartbleed補丁所有產品,證書并安裝新的下降,并導致許多煩惱與他們的雇主在這個過程中必要的中斷,”他說。“現在認為可憐的睡眠不足的人被要求再次這么做批七OpenSSL vulnerabilies。”
灰鴿子教程,這個行業正在遭受他所謂的“脆弱性緩解疲勞”。
“即使最好的意圖和過程,它可以響應慢下來,以便不被緊急應用必要的更新,“Ostini說。
不到兩周前,安全下的羅伯特•格雷厄姆勘誤表Sec發起了一場大規模的聯網系統的掃描,發現容易Heartbleed超過300000,兩個月后,警報走了出去。
灰鴿子工作室“這表明,人們甚至已經停止試圖修補,”研究人員說。
“即使從現在開始的十年,我還是期望找到成千上萬的系統,包括關鍵的仍然脆弱。”
|
|