13520606004

OpenSSL“心血”漏洞修复方案

如果你是站长,请按照下面解决方案进行修复: 第一步: Debian/Ubuntu: # apt-get update # apt-get install openssl libssl1.0.0 CentOS/Redhat/Fedora: # yum update openssl openSUSE: # zypper in -t patch openSUSE-2014-277 如果没有源或者不想从源安装,请手工将OpenSSL升级至1.0.1g版本 第二步:...

OPENSSL漏洞简述与网络侧检测建议

1. CVE-2014-0160漏洞背景 2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。 在目前已有的资料中,国内外同行已经称本漏洞为...

针对OpenSSL Heartbleed 漏洞修复紧急通知

尊敬的天威诚信 SSL 证书用户: 您好   OpenSSL官方网站4月7日发布公告,有研究人员发现OpenSSL 1.0.1和1.0.2-beta版本中存在安全漏洞(编号为CVE-2014-0160),可能暴露私密通信,建议您第一时间尽快修补。 天威诚信提醒您,我们提供 Symantec 全品牌、全线 SSL证书产品本身是非常安全的。我们发布的紧急安全通知并不是针对SSL证书产品的漏洞通知。 此次发布的 Heartbleed 漏洞是基于 OpenSSL 特定版本的一个高危漏洞。如果您有使用我们的...

遇到支付网址“http”开头时要当心 谨防上当

央视《新闻直播间》节目针对网络诈骗进行报道,曝光了一个网络诈骗团伙假冒购物网站进行诈骗,将受害者网银内的钱全部转走。天威诚信提醒网民,当网购支付页面的网址前缀不是“https”而是“http”时一定要注意,很可能已经被骗子盯上。   据央视报道,一个网络诈骗团伙,他们就是假冒购物网站,将受害者网银内的钱全部转走!提醒大家完成网购订单进入支付页面,网址前缀会变成”https”,表示已加密;若支付页面仍是”http”,一定提高警惕。  ...

信息被盗事件频发 网络安全行业要“火爆”

自去年年底至今,有超过4000万客户信息被盗。紧接着,称不仅是Target还有包括Neiman Marcus在内等多家知名的零售商在假日购物季明显受到黑客的攻击,用户信息泄露事件升级。由于黑客尚未落网,网络安全公司Intel Crawler称,新一轮的信用卡攻击或将继续。  ...

遭短信钓鱼网站窃取信息 上当受骗近50万元

南海的郭小姐9月一天收到一号码为“10600095588”发来的短信,要求其登录某银行网站进行电子密码器升级,否则她的电子密码器次日就会失效。郭小姐称,她当时忙着用手机登录短信所指示的网站页面,并没留意到这个所谓的某银行网站名来自域外,而网址名也比该行官网多了一个字母“e”。...

酒店系统关键页面部署SSL证书 防止顾客信息被泄

顾客酒店开房私密信息被大量泄漏,网民的隐私受到极大侵犯,信息安全再一次被推到风口浪尖,为什么会出现这样的情况?黑客固然首当其冲,但我们需要反思的是酒店系统的安全性,有漏洞才会让黑客有机可乘。 这次卷入泄密风波的有如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店等,大量客户开房信息被泄露,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。...

社交网络、移动设备及云服务(分析)

分析 垃圾邮件和网页仿冒转向社交媒体 过去几年中我们注意到,社交媒体网站上的垃圾邮件和网页仿冒大幅增加。罪犯尾随用户到流行的网站上。随着 Facebook和 Twitter 用户数量的增长,这些网站也吸引了更多犯罪行为不过,去年网络罪犯也开始将目标对准一些飞速壮大的新网站,如 Instagram、Pinterest 和 Tumblr。 典型的威胁包括礼品卡和调查骗局。此类虚假内容骗局占全部社交媒体攻击的一半以上 (56%)。例如,在某个骗局中,受害者在某人的 Facebook Wall 或 Pinterest...

社交网络、移动设备及云服务(简介、数据)

简介 网络罪犯和垃圾邮件发送者对于将电子邮件作为感染媒介的兴趣逐渐转淡。为什么?因为社交媒体当下极为盛行,为他们提供了许多新的方式来窃取他人的身份信息或个人信息,并利用恶意软件感染其计算机。 社交媒体综合了可供罪犯利用的两种行为:社会认同和分享。社会认同是一种因为朋友做某事而说服自己做某事的心理机制。例如,如果您在 Facebook Wall 上收到一位信赖的朋友发来的消息,那么您点击该消息的可能性会更大。...

漏洞、漏洞利用及工具包(分析)

基于 Web 的攻击与日俱增 我们注意到,基于 Web 的攻击数量增长了将近三分之一。当企业和个人用户访问遭破坏的网站时,会在毫无察觉的情况下感染此类攻击。换而言之,用户仅仅因为访问了一个合法网站而受到感染。通常情况下,攻击者潜入网站,在不为网站所有者或潜在受害者所知的情况下,安装攻击工具包和恶意软件负载。 Web 攻击工具包投下的恶意软件负载通常是服务器端多态或动态生成的,从而使得依赖基于特征的防病毒技术的企业无法抵御这种悄无声息的攻击。隐藏的 JavaScript?...