思科Juniper承认路由器也存在“心血”漏洞

亚比 发表于:14年04月11日 10:40 [转载] 网易科技

  • 分享:
[导读]4月11日消息,据国外媒体报道,被称为“心血”的高风险加密漏洞并非只影响网站,思科与Juniper两家设备厂商日前表示,自己的部分网络硬件产品上也出现了这类漏洞。

4月11日消息,据国外媒体报道,被称为“心血”的高风险加密漏洞并非只影响网站,思科与Juniper两家设备厂商日前表示,自己的部分网络硬件产品上也出现了这类漏洞。

两大网络设备制造商的表态意味着,黑客也可以在企业网络、家庭网络以及互联网上利用这一漏洞,非法获取用户名、密码以及其他敏感信息。

包括雅虎、亚马逊以及Netflix在内的许多网站都受到了“心血”漏洞的影响。大部分网站自周一获知这一消息后便修复了该漏洞。但是,思科与Juniper两家公司表示,这一安全缺陷也会影响企业与家庭中使用的路由器、交换机与防火墙。

在这类硬件设备上出现的漏洞可能更难修复。安全专家表示,修复这类设备的漏洞需要采取更多步骤,而企业一般不太可能去检查网络设备的状态。

网络安全研究员兼密码研究员布鲁斯·施耐尔(Bruce Schneier)表示,“整个升级过程需要抛弃旧设备,拿上信用卡,亲自去一趟百思买买个新产品。”

但这可能称不上是一个合理的解决方案:很可能在周一漏洞公布前,商店中的产品就上架销售了。所以消费者购买的新产品可能也会包含有缺陷的软件。此漏洞涉及到一个名为OpenSSL的加密协议。

约翰霍普金斯大学的密码专家马修·格林(Matthew Green)表示,公司通常会使用防火墙和虚拟专用网(VPN)来保护自己的电脑系统。但如果运行防火墙和VPN的机器受到了“心血”漏洞的影响,攻击者就可以通过这些设备渗透进网络。

“这非常糟糕。因为连接到这些设备上的人太多了,”格林说。

格林与其他人士表示,这个漏洞也可能会影响部分家庭网络设备,例如无线路由器。

思科在周四更新了一篇客户通告,表示旗下有数十款产品“受到一种漏洞的影响。未授权的远程攻击者可以通过该漏洞获取”敏感信息。在这篇通告中,思科称公司目前正在调查65款产品,另有16款产品已经被证实存在漏洞。

思科表示,公司会尽快向客户推出升级补丁。同时,该公司的安全研究人员提供了工具软件下载,称该软件可以检测到是否有黑客利用这一漏洞。思科发言人在接受采访时请求记者参看发表在公司网站上的通告。

Juniper则表示,升级旗下设备或许需要等待一段时间。Juniper发言人称,“这不像是打开开关那么简单。我不知道这些问题需要多长时间才可以解决。”

为了防止攻击,网站和网络设备会使用加密方式,将敏感信息转化为不可读的文本。由于撰写加密协议非常复杂,开发者通常使用一种名为OpenSSL的免费开源协议。该项目仅由四名欧洲程序员管理。

“心血”漏洞两年前首次被发现存在于OpenSSL中。在该协议被攻破后,黑客可以从服务器和设备上获取数据。(亚比)

[责任编辑:邵海宏]
IT邵年
出于对空间位置服务和大数据这两大热点技术交集的兴趣所致,最近笔者有幸采访了一家地理空间大数据应用的技术公司 - Intermap,Intermap公司的CEO Todd Oseth和CMO Kevin Burns向我展示了这些信息数据都可以帮助我们做哪些事情
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.