赣州城乡建设局网站杭州网站建设外包
1.OpenSSL心脏出血漏洞
漏洞描述 这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。
攻击者可以追踪OpenSSL所分配的64KB缓存将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。
漏洞危害 OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议.多数SSL加密网站是用名为OpenSSL的开源软件包,由于这也是互联网应用最广泛的安全传输方法,被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用,所以漏洞影响范围广大。 在漏洞爆发的时候全球前一百万的网站中,有40.9%的网站中招。
OpenSSL心脏出血漏洞因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。
2.Shellshock bash漏洞
漏洞描述 法国GNU/Linux爱好者Stéphane Chazelas于2014年9月中旬发现了著名SHELL实现BASH的一个漏洞(CVE-2014-6271),你可以通过构造环境变量的值来执行你想要执行的脚本代码,据报道称,这个漏洞能影响众多的运行在GNU/Linux上的会跟BASH交互的应用程序。
漏洞危害 Shellshock所影响的Bash软件,被广泛应用于各类网络服务器以及其他电脑设备。Shellshock本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器,不仅能破坏数据,甚至会关闭网络,或对网站发起攻击。
与之相比,“心脏流血”漏洞只会导致数据泄漏。