OpenSSL漏洞波及网络设备都有哪些 影响究竟还有多大

来源:蜘蛛抓取(WebSpider) 时间:2018-04-05 23:18 标签: 网络设备
记录黑客技术中优秀的内容, 传播嫼客文化,分享黑客技术精华

VMware ESXi是实现虚拟主机和云计算的基础构件

发现VMware ESXi同样受到本次openssl影响将导致内存中的数据泄漏

有时间可以测试下获取管理密码,然后用vSphere Client登上去管理

还记得OpenSSL漏洞么几周前,这一漏洞的披露曾震惊互联网全球有上百万使用OpenSSL对通信进行加密的网站受到该漏洞的影响。

无独有偶OpenSSL基金会最近又发布了一些更新,修复了陸个OpenSSL中的安全漏洞其中两个为严重级别。

??????中间人攻击(CVE-)????????

OpenSSL中的第一个严重漏洞(CVE-)被称为“CCS 注入”在OpenSSL建立握手连接的阶段,会发送一种名为ChangeCipherSpec(CCS)的请求在发送该请求时,攻击者可以通过中间人攻击来劫持服务端与客户端之间的加密通信

利用该问题,攻击者能够解析加密的链接并将其解密读取或对通信数据进行操作。但该问题如想成功利用必须服务端域客户端双方均存在该问题

摘要:安全协议OpenSSL被曝重大安全漏洞这个漏洞使攻击者能够从内存中读取多达64KB的数据。该漏洞被命名为“心脏出血”这足以说明其影响力之大,那么OpenSSL究竟为何物我们叒该怎样防御呢?

4月8日晚间各大网站都在报道安全协议OpenSSL重大安全漏洞新闻。这个漏洞使攻击者能够从内存中读取多达64 KB的数据该漏洞被命名为“心脏出血”,虽然64KB数据量并不大但黑客可以重复利用该漏洞、多次窃取数据,并可能因此获得用户的加密密钥解密敏感数据。那么OpenSSL究竟为何物为何它的影响力如此之大?

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议囊括了主要的密码算法、常用的密鑰和证书封装管理功能以及SSL协议。

此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多嘚数据会导致memcpy把SSLv3记录之后 的数据直接输出该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存数据。

目前各大网银、在线支付、電商网站、门户网站、电子邮件等重要网站都在使用据悉,该漏洞是由安全公司Codenomicon和谷歌安全工程师独立发现的使用OpenSSL (#换成@)

我要回帖

更多关于 网络设备 的文章

 

随机推荐