全球超过 199,500 网站仍未修复“心脏出血” OpenSSL 漏洞

据 Shodan 22 日一份数据报告显示，目前全球仍有超过 199,500 网站仍未修复 “心脏出血” OpenSSL 漏洞，或是源于许多组织没有正确修复漏洞所致。

2014 年 4 月 7 日，开源安全组件 OpenSSL 爆出高危漏洞（CVE-2014-0160），漏洞成因是 OpenSSLHeartbeat 模块存在一个 Bug，使攻击者可以构造一个特殊的数据包获得存在该漏洞的服务器长达 64KB 的内存数据，而这段数据中可能包含用户的用户名、密码、密钥等敏感信息，因此该漏洞获得了一个名副其实的名字“心脏出血（OpenSSLHeartbleed）”漏洞。

作为互联网史上最大漏洞之一，“心脏出血”漏洞影响了全球多达三分之二服务器的安全性，据 ZoomEye 2014 年监测结果显示全球约有 2,443,550 个 IP 受此漏洞影响。ZoomEye 团队在“心脏出血”漏洞爆发一周年之际，对全网 IP 进行了回归性普查发现，虽然受影响 IP 已经降低到了 1 年前的 14.6%，但还有较大量（377,221）的 IP 漏洞并未修复。

然而 Shadow 最新报告却表明，距漏洞爆发至今已过去两年零九个月，仍有几十万网站漏洞未被修复。

超过 199,500 网站易受攻击

Shodan 首席执行官 John Matherly 表示，由于未正确修复“心脏出血”漏洞，全球还有超过 199,500 个网站容易受到黑客攻击。报告指出目前受影响最大的国家仍是美国（41,332），其次是韩国（15,380）、中国（14,116）、德国（14,072）以及法国、俄罗斯等。可以想象若是近二十万网站漏洞都被利用，势必会造成更大规模的数据泄露事件。

如何正确修复心脏出血漏洞

修复“心脏出血”漏洞至少需要三个步骤：
① 及时更新：更新 OpenSSL 至最新版本，目前大部分机构都已完成了这一步；
② 创建新密钥：防止攻击者已通过漏洞窃取服务器密钥，或是进一步窃取机密数据；
③ 补发安全证书：防止攻击者继续利用漏洞损害公司或客户权益。

稿源：HackerNews.cc 翻译/整理，封面来源：百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。