|
|
供应商缓慢补丁OpenSSL漏洞-灰鸽子使用教程,远程控制软件
澳大利亚的系统管理员正遭受“脆弱性缓解疲劳”。
几个关键技术供应商尚未完全补丁对OpenSSL加密库用于安全的网络通信,领先澳大利亚安全研究人员警告说。
OpenSSL Heartbleed漏洞,第一个向公众透露今年4月,使得攻击者利用被认为是安全的,什么加密通信的注意。
更彻底的审计后的开放源代码加密库,进一步发现了漏洞,可能导致拒绝服务攻击和任意代码执行。
产品列表OpenSSL漏洞的影响又长又深,从服务器到客户端,数据库备份系统和打印机;移动电话、虚拟机监控程序——几乎任何产品或服务可能的。
信息安全分析师Marco Ostini在澳大利亚工作的计算机紧急响应小组(AusCERT)昆士兰大学,说OpenSSL漏洞不限于服务器端计算。他们接近无处不在,影响着几乎所有的操作系统,他说。灰鸽子下载
这包括客户以及嵌入式设备如家庭宽带路由器,其中许多尚未得到固件补丁OpenSSL的弱点。
其他网络设备如智能电视、无线无线接入点,工业SCADA控制系统、支付网关、自动柜员机、销售点系统可能仍然脆弱,Ostini警告说,和修复速度太慢了。
“补丁的缓慢释放一些供应商,然后缓慢推进的补丁,所以很多产品从系统管理员和普通用户在家里,似乎强调Heartbleed和它的表亲将导致悲伤一段时间。它最终会被仪器在一些重大违反”Ostini告诉iTnews。
谷歌的Android手机操作系统版本4.1.1占三分之一的设施,但尚未对OpenSSL漏洞补丁。
黑莓是另一个供应商,是很晚修补它的许多脆弱的产品,Ostini指出。
”在这一过程中(OpenSSL的修补漏洞)凭证,私钥和其他敏感数据几乎肯定已经被盗,“Ostini说。
的规模问题是加剧各方整流的困难问题,他说。
“考虑穷人的困境sysadmin的工作是容易Heartbleed补丁所有产品,证书并安装新的下降,并导致许多烦恼与他们的雇主在这个过程中必要的中断,”他说。“现在认为可怜的睡眠不足的人被要求再次这么做批七OpenSSL vulnerabilies。”
灰鸽子教程,这个行业正在遭受他所谓的“脆弱性缓解疲劳”。
“即使最好的意图和过程,它可以响应慢下来,以便不被紧急应用必要的更新,“Ostini说。
不到两周前,安全下的罗伯特•格雷厄姆勘误表Sec发起了一场大规模的联网系统的扫描,发现容易Heartbleed超过300000,两个月后,警报走了出去。
灰鸽子工作室“这表明,人们甚至已经停止试图修补,”研究人员说。
“即使从现在开始的十年,我还是期望找到成千上万的系统,包括关键的仍然脆弱。”
|
|
加载中...
发表于 2014-6-30 08:56:53
发表于 2014-6-30 08:56:56