cnbeta 发表于:14年06月23日 10:00 [综述] DOIT.com.cn
2个多月前,整个互联网都被“Heartbleed”这个OpenSSL软件的安全漏洞所震惊。事后,尽管大多数公司都已经更新了其服务器软件,但不幸的是,还有不少人很快地就将这件事给遗忘掉了。据来自Errata Security的一份新报告称:仍有超过30万台服务器在运行着过时的、未打补丁的OpenSSL版本。也就是说,这些服务器直接向恶意攻击者敞开了大门。
人总是健忘的(包括给OpenSSL打Heartbleed补丁这件事)。
通过扫描服务器最常用的端口之一(443),Errata可得到服务器的反馈并获知其所使用的OpenSSL版本,而恶意攻击者也可对那些存有“Heartbleed”漏洞的服务器图谋不轨。
当Heartbleed漏洞首次公开时,Errata在扫描后发现了超过60万受影响的服务器。而在一个月后,这个数字降低到了30万。
但当其于昨晚再次扫描时,这个数字竟然只下降了9000。
这是个令人担忧的现象,因为它表明,许多服务器管理员根本不会为一个“被普遍认为非常严重的安全问题”所动。
Errata Security会在下月再进行一次扫描,但愿这个数字能够迅速减少下去。
