2014年4月的“心脏出血”(Heartbleed)安天和许多安全制造商都惊呼这些漏洞是几年来最严重的安全危机,这些漏洞是由它引起的“出血”效果只有六个月,破壳被安全行业认定为更严重的漏洞。这是过度紧张还是恰当?两者之间有一些微妙的联系吗?
详情请点击:http://down.51cto.com/data/1887800
Heartbleed开源界和安全工作者认识到,开源系统获得的安全关注度高度不平衡,类似Linux太多的研究人员聚焦于核心等场景,而在OPEN SSL这种广泛使用的软件,非常关键,但也是一个外部应用程序链接,一直被视为一个既定的想象安全事实。我没想到一个安全链接本身是不安全的,就像很久以前用户不认为反病毒软件本身也可能有严重的安全故障一样。“灯下黑”式的盲点效应,绝不只是在“Heartbleed”它存在。事实上,许多知名项目资金短缺,人力不足的现状备受关注。还有一些项目实际上是这样的“来历不明”,例如,密码学家惊讶地发现,开源加密软件在安全界有很多粉丝Truecrypt,没有人知道它来自哪里。Heartbleed带动开源界问题曝光,全面审查开源系统漏洞,减少盲点活动热潮。Heartbleed它还带来了对脆弱点分布的更多思考,让更多的关注内核扩展到外围和连接部,扩展到被认为不可能出现问题的场景。Bash这样的“古老”代码自然会回归代码审计研究者的实现。如果要说的话“心脏出血”的爆发与“破壳”被发现有什么关联,也许这就是关联。
根据GitHub截至目前,该网站已发布的漏洞信息“破壳”有十多种第三方软件受到漏洞的影响,其中大部分是开源软件,由不同类型的操作系统支持;或者一些应用广泛的软件,如Oracle等待;新的第三方软件将随着时间的推移而不断发布。
详情请点击:http://down.51cto.com/data/1887800