Heartbleed问题可能比您想象的更为普遍 - 行业动态 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

Heartbleed问题可能比您想象的更为普遍

浏览次数:979日期:2019-05-06小编:沐鸣

欢迎访问沐鸣平台登录网址www.huayu21.com,最近在200,000台设备中发现的那种挥之不去的Heartbleed缺陷比这个数字表明更加阴险。


根据Shodan发布的一份报告,在上周末进行的一次扫描中,仍然发现了2014年4月首次曝光的Heartbleed漏洞,其中包含199,594个可通过互联网访问的设备。


但据开源安全公司Black Duck称,在2015年10月至2016年3月期间审计的200多个应用程序中,约有11%包含该漏洞,这会导致缓冲区过度,从而危及运行受影响的OpenSSL版本的客户端和服务器的数据。


该公司负责安全策略的副总裁Mike Pittenger表示,这些机器中的大多数都已经得到了修复,但它并没有解决无数其他应用程序 - 商业和专有 -  Black Duck没有进行审计。 “这很重要,可以肯定,他说。 “但是,我不会推断说当时有11%的商业应用程序容易受到Heartbleed的攻击。”


11%是该公司上次发布的报告中的一个数字。在下个月即将发布的尚未完成的新报告中,该数字可能会下降到个位数,但仍然很重要。

Heartbleed问题可能比您想象的更为普遍

问题在于,商业软件通常使用大量的开源代码 - 平均为35% - 并且代码的作者不一定有适当的流程来跟踪何时在该代码中发现漏洞并随后修补它们,他说。


他说,Black Duck的研究发现,其中三分之二的应用程序存在这种或那种的开源漏洞,并且它们平均为5年。


特别是关于Heartbleed,他说报告利用有关其审计的匿名数据,因此他们没有透露发现Heartbleed漏洞的具体应用。


他说,在受监管的环境中运行易受攻击的应用程序可能会对使用它们的企业产生影响,因为它们所代表的安全威胁可能违反HIPAA或PCI安全和隐私要求。


Shodan关于Heartbleed普遍存在的报告表明,拥有最多Heartbleed易受攻击设备的个体实体是服务提供商。 Pittenger说,这可能是因为这些机器不久前已经安装好,不再使用,但从未脱机。例如,亚马逊网络服务上有超过5,163个,很多可能是由开发团队动态设置的实例,开发团队在使用它们时从不打算关闭它们。


这个故事,“那个Heartbleed问题可能比你想象的更普遍”最初是由Network World发布的。



如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有