Heartbleed“心脏流血”漏洞已大范围修补

Heartbleed“心脏流血”漏洞已大范围修补

据Re/code网站报道，上周震惊整个互联网世界的“心脏流血” 漏洞（Heartbleed）引发了人们的恐慌。不过，最新报告显示，目前大部分网站已进行更新，修补了这一漏洞。互联网安全公司Sucuri对100万个网站进行了系统性扫描，结果显示：流量排名前1000位的网站大部分都是安全的，它们已经升级，并重新创建了认证和 密锁，其中包括谷歌、Facebook、YouTube、Pinterest、维基百科、Twitter、LinkedIn和Bing等。

不过尽管如此，用户为了保险起见还是最好更换自己的用户名和密码。在流量排名前1000位网站中，仅有53家网站仍存在安全漏洞。不过，Sucuri并未公布这些网站名称。

OpenSSL TLS心跳读远程信息泄露漏洞 (CVE-2014-0160)

OpenSSL严重bug允许攻击者读取64k内存，Debian半小时修复

OpenSSL “heartbleed” 的安全漏洞

通过OpenSSL提供FTP+SSL/TLS认证功能，并实现安全数据传输

OpenSSL “Heartbleed”心脏流血漏洞升级方法

但是，坏消息是：在Sucuri所扫描的100万个网站中，有2%的网站（约超过2万个网站）仍存在安全漏洞。Sucuri发现，越著名的网站，修补安全漏洞的可能性越大。

此外，Sucuri监测出了有4.8万个网站链接扫描存在“心脏流血”安全漏洞，它们大部分在亚马逊EC2扫描工具上能够被追踪到IP地址。并且，更为糟糕的是，黑客很容易使用这些扫描来攻击存在安漏洞的网站。

Heartbleed 漏洞在上周被曝光。从根本上将，Heartbleed利用了网页安全软件OpenSSL的漏洞，可以让黑客轻松盗取用户计算机中储存的信息，包括用户名， 密码或者其他敏感数据。此外，黑客还可以借助Heartbleed漏洞来盗取服务器认证密锁，从而复制一个合法服务器，骗取用户信任，使其放弃自己的用户名和密码。

本文永久更新链接地址：