警惕!Heartbleed还在继续

日期:2014-5-19

近日,Dark Reading发表了一篇题为“在灾难性的Heartbleed漏洞面前补救措施大打折扣”的文章(链接:http://www.darkreading.com/vulnerabilities---threats/accidental-heartbleed-infections-undercut-recovery-effort/d/d-id/1251166)。这篇文章强调,自从Heartbleed漏洞被公开以来,虽然受影响的服务器的总数在降低,但新发现的仍受该漏洞影响的服务器的数量却仍在增加。

来自Vivaldi Technologies的YngvePettersen(一位独立的第三方分析员)发现,已部署的F5的BIG-IP是导致受Heartbleed漏洞影响的服务器新增数量持续上升的最大来源之一,F5号称具备了保护有漏洞的服务器的能力,但是F5的BIG-IP平台自身却收到Heartbleed漏洞的威胁。更令人吃惊的是,在已经发现的受Heartbleed漏洞影响的F5的BIG-IP中,有32%在几周之前恰恰是不受这个漏洞影响的。

Dark Reading的文章提到:“随着新发现的仍然受到Heartbleed漏洞威胁的服务器数量不断增加(这其中包含了数量可观的F5的BIG-IP),人们意识到局面愈来愈严峻。在最近的一次基于IP地址的扫描时我发现,已受到该漏洞影响的服务器中的20%,和受到该漏洞影响的BIG-IP中的32%,在我之前的扫描中是不受Heartbleed漏洞影响的……这意味着,数以千计的原来不受Heartbleed漏洞影响的站点,现在反而受该漏洞影响了。”

“针对这种情况(新发现的受影响的服务器数量不断增加),另一种潜在的可能是:一些IT管理员可能认为他们正在使用的运行着OpenSSL的服务器是有漏洞的,但事实上这些服务器没有;或许,在来自管理层的压力和“总得做点儿什么”的双重因素驱使下,他们将这些不受影响的服务器升级到新的OpenSSL版本,而这些新的OpenSSL版本恰恰是具备Heartbleed漏洞的。造成这种现象的原因或许是针对某些系统的OpenSSL衍生版本的补丁还尚未被发布。”

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

安全市场趋势>更多

相关推荐

技术手册>更多

  • Nessus指南手册

    假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。

  • BYOD安全指南

    随着越来越多的移动设备涌入企业,BYOD已经不再是一个趋势,而是无可置疑的事实。但是,BYOD在给我们带来便捷的同时,也常常会导致安全问题。这个安全需要考虑很多因素。

  • Web应用防火墙

    Web应用防火墙检查应用层的信息以发现违反安全策略的行为,警惕可能的入侵。它们正逐渐成为关键的数据保护和法规遵从工具,任何安全的决策者都应该了解它。本技术手册为您提供一份关于Web应用防火墙的综合指南。我们将为您提供评价标准,部署考虑以及管理问题方面的建议。

  • Microsoft SQL Server 2008安全

    虽然改进的过程很艰辛,但是Microsoft SQL Server 2008比2005和2000更安全了。保护业务的关键是数据库安全。组织、企业、互联网、以及应用程序对数据库的依赖程度从来没有如此之高。毕竟,现在有什么数据不是存储在你的后端数据库中呢!

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算