警惕Heartleed的同时别忘了许多开源应用也有漏洞

安全 漏洞
最新研究表明,2013年,用户下载的基于Java,但包含已知安全漏洞的开源组件超过四千六百万。

Heartleed带来的伤痛还记忆犹新,这才过去几周时间,OpenSSL 密码库的一个漏洞又让全球网民陷入恐慌。

黑客可能利用这个漏洞披露安全连接的内容——如密码和信用卡交易。但更糟糕的是,另一个漏洞的发现带给网民的恐惧如同雪上加霜,就在爆出openssl漏洞的几周后,又爆出了OAuth和OpenID的漏洞。

警惕Heartleed的同时别忘了许多开源应用也有漏洞

据一名研究人员描述,事情还远没有就此结束。

有几百万基于Java的,以及其他开源应用都存在已知漏洞,有些漏洞都已经曝出有几年时间了,他警告称。甚至直到今天,仍然有人在下载这些应用。

Sonatype的Brian Fox在周三解释道,尽管许多项目都对漏洞进行了回应,且能迅速推出漏洞补丁,但问题是用户不会快速响应及时下载补丁来修复。

“更何况,攻击者都是通过相同机制来标识的,即,漏洞被发现和修补后,他们就具有先动优势,因为通常利用漏洞比更新应用框架要容易些。,”他写道。

在一些案例中,成百上千受影响的常用Java应用被数以千计的组织下载。

他说,受影响的Struts,一款广泛使用的应用框架, 9个月的时间里被一万多个组织下载了80500次以上,而它就有一个重要的原创代码执行漏洞。

与此同时,尽管Bouncy Castle仍然是Java密码运算法则中最受欢迎的安全屋,但它也包含一个漏洞,攻击者可利用这个漏洞来破坏自漏洞曝光五年内,20000多次下载所产生的加密数据。据称,超过4千家组织正在使用有漏洞的版本。

“这等于是把你想加密的东西曝光,”他说。

Heartbleed可能吓到了很多IT组织,但Fox警告称,还有很多开源应用并没有得到及时更新。

他暗示道,这种状况可能导致另一场Heartbleed式的攻击。

责任编辑:蓝雨泪 来源: ZDNet
相关推荐

2009-08-22 20:53:41

企业综合布线网络测试布线安装

2017-11-02 10:15:12

时间 1元

2016-08-08 17:37:23

大数据搜索

2013-09-04 11:31:45

2013-09-22 17:17:25

2013-09-22 14:16:51

2012-06-18 09:54:22

2015-02-26 14:58:56

云计算云测试云安全

2015-09-09 17:13:41

2021-02-21 10:26:41

人工智能AI机器学习

2013-07-05 13:13:15

App

2013-11-25 13:49:50

2017-10-26 11:21:18

IDC

2013-12-24 10:14:28

大数据Linux内存管理

2015-11-19 10:13:25

2013-04-01 12:04:46

数据备份数据备份日

2015-01-14 09:33:07

2013-01-16 10:30:19

虚拟化应用虚拟应用漏洞

2020-03-16 20:48:18

网络安全5G智能家居

2015-11-16 11:43:31

Wi-Fi华为
点赞
收藏

51CTO技术栈公众号