由买买提看人间百态

boards

本页内容为未名空间相应帖子的节选和存档,一周内的贴子最多显示50字,超过一周显示500字 访问原贴
PDA版 - 思科Juniper承认路由器也存在“心血”漏洞
相关主题
OpenSSL现新漏洞:或比“心脏流血”更危险 手机Chrome中招 zzz真不知道有些2货给nsa洗个毛的地
可恶的狗狗又作恶了继apple以后,openssl又玩了次大的
可悲,我的NEXUS 7现在彻底沦为电子闹钟。。。。。由于openssl, lastpass有点隐患
NSA已经破解了主要的加密协议。r7000才是王道 openssl的bug已经修复了
不能用App解决没有特定WiFi加密协议的问题?Android 4.1.1受heartbleed影响
关于GOOGLE I/O (转自微博)来个学术贴具体分析一下heartbleed的原理.
一到关键时刻就看出来DotNet架构的网站不行了小米又开始卖路由了啊
igo primo thin-v1.3MS $20B revenue, Surface $0.5B business
相关话题的讨论汇总
话题: 漏洞话题: juniper话题: 思科话题: 心血话题: 设备
进入PDA版参与讨论
1 (共1页)
p*******m
发帖数: 20761
1
被称为“心血”的高风险加密漏洞并非只影响网站,思科与Juniper两家设备厂商日前
表示,自己的部分网络硬件产品上也出现了这类漏洞。
两大网络设备制造商的表态意味着,黑客也可以在企业网络、家庭网络以及互联网上利
用这一漏洞,非法获取用户名、密码以及其他敏感信息。
包括雅虎、亚马逊以及Netflix在内的许多网站都受到了“心血”漏洞的影响。大部分
网站自周一获知这一消息后便修复了该漏洞。但是,思科与Juniper两家公司表示,这
一安全缺陷也会影响企业与家庭中使用的路由器、交换机与防火墙。
在这类硬件设备上出现的漏洞可能更难修复。安全专家表示,修复这类设备的漏洞需要
采取更多步骤,而企业一般不太可能去检查网络设备的状态。
网络安全研究员兼密码研究员布鲁斯·施耐尔(Bruce Schneier)表示,“整个升级过
程需要抛弃旧设备,拿上信用卡,亲自去一趟百思买买个新产品。”
但这可能称不上是一个合理的解决方案:很可能在周一漏洞公布前,商店中的产品就上
架销售了。所以消费者购买的新产品可能也会包含有缺陷的软件。此漏洞涉及到一个名
为OpenSSL的加密协议。
约翰霍普金斯大学的密码专家马修·格林(Matthew Green)表示,公司通常会使用防
火墙和虚拟专用网(VPN)来保护自己的电脑系统。但如果运行防火墙和VPN的机器受到
了“心血”漏洞的影响,攻击者就可以通过这些设备渗透进网络。
“这非常糟糕。因为连接到这些设备上的人太多了,”格林说。
格林与其他人士表示,这个漏洞也可能会影响部分家庭网络设备,例如无线路由器。
思科在周四更新了一篇客户通告,表示旗下有数十款产品“受到一种漏洞的影响。未授
权的远程攻击者可以通过该漏洞获取”敏感信息。在这篇通告中,思科称公司目前正在
调查65款产品,另有16款产品已经被证实存在漏洞。
思科表示,公司会尽快向客户推出升级补丁。同时,该公司的安全研究人员提供了工具
软件下载,称该软件可以检测到是否有黑客利用这一漏洞。思科发言人在接受采访时请
求记者参看发表在公司网站上的通告。
Juniper则表示,升级旗下设备或许需要等待一段时间。Juniper发言人称,“这不像是
打开开关那么简单。我不知道这些问题需要多长时间才可以解决。”
为了防止攻击,网站和网络设备会使用加密方式,将敏感信息转化为不可读的文本。由
于撰写加密协议非常复杂,开发者通常使用一种名为OpenSSL的免费开源协议。该项目
仅由四名欧洲程序员管理。
“心血”漏洞两年前首次被发现存在于OpenSSL中。在该协议被攻破后,黑客可以从服
务器和设备上获取数据。
a*****g
发帖数: 19398
2
惨。赶快升级。

【在 p*******m 的大作中提到】
: 被称为“心血”的高风险加密漏洞并非只影响网站,思科与Juniper两家设备厂商日前
: 表示,自己的部分网络硬件产品上也出现了这类漏洞。
: 两大网络设备制造商的表态意味着,黑客也可以在企业网络、家庭网络以及互联网上利
: 用这一漏洞,非法获取用户名、密码以及其他敏感信息。
: 包括雅虎、亚马逊以及Netflix在内的许多网站都受到了“心血”漏洞的影响。大部分
: 网站自周一获知这一消息后便修复了该漏洞。但是,思科与Juniper两家公司表示,这
: 一安全缺陷也会影响企业与家庭中使用的路由器、交换机与防火墙。
: 在这类硬件设备上出现的漏洞可能更难修复。安全专家表示,修复这类设备的漏洞需要
: 采取更多步骤,而企业一般不太可能去检查网络设备的状态。
: 网络安全研究员兼密码研究员布鲁斯·施耐尔(Bruce Schneier)表示,“整个升级过

1 (共1页)
进入PDA版参与讨论
相关主题
MS $20B revenue, Surface $0.5B business不能用App解决没有特定WiFi加密协议的问题?
看到锤子手机屏幕底下有三个细细的键,就知道关于GOOGLE I/O (转自微博)
NSA避免再爆丑闻,停止了加密软件Truecrypt的开发 (转载)一到关键时刻就看出来DotNet架构的网站不行了
1+1这傻逼开始出篓子了igo primo thin-v1.3
OpenSSL现新漏洞:或比“心脏流血”更危险 手机Chrome中招 zzz真不知道有些2货给nsa洗个毛的地
可恶的狗狗又作恶了继apple以后,openssl又玩了次大的
可悲,我的NEXUS 7现在彻底沦为电子闹钟。。。。。由于openssl, lastpass有点隐患
NSA已经破解了主要的加密协议。r7000才是王道 openssl的bug已经修复了
相关话题的讨论汇总
话题: 漏洞话题: juniper话题: 思科话题: 心血话题: 设备