安全业界的研究员们每天都在寻找新的软件漏洞,但是已经很久没有象2014年这样出现数量如此之多或影响范围如此之广的漏洞了。回顾即将结束的2014年,一个又一个重量级漏洞接踵而至,受到影响的设备竟以百万计,系统管理员和用户简直要抓狂了。
今年被发现的几个重大安全漏洞震惊了整个互联网,令安全社区颜面尽失,因为这些漏洞并不是在新软件中被发现的,而是从已经推出了几年甚至几十年的老软件中被挖出来的。有几个漏洞可以说是普通用户的悲剧,因为这么多人使用了这么久的时间,人们一直以为它们是没有漏洞的。
SR Labs的柏林安全研究员卡尔斯滕诺尔(Karsten Nohl)称:“人们总是认为,拥有大量安全预算的大公司们都普遍使用的软件肯定已经被检查了很多次了,大家都想偷懒,希望其他人去做检测工作,结果谁都没有认真做完所有的安全检查工作。”
他说,今年在最常用的工具中发现的那些重要漏洞说明了一个问题,即黑客们已经开始在老软件中寻找长期被人们忽略掉的漏洞。在很多情况下,这将造成惊人的后果。现在就跟我们来一起历数2014年在研究社区和全球网络上横行无忌的安全漏洞。
心脏流血
当加密软件失效的时候,最糟糕的结果是某些信息可能会外泄。但是当心脏流血漏洞被黑客利用时,后果要严重得多。
心脏流血漏洞在今年4月被首次曝光时,黑客可以通过它向全球三分之二的网络服务器发动攻击。那些服务器使用了开源软件OpenSSL,心脏流血漏洞就存在于该软件中。利用这个漏洞,黑客不仅可以破解加密的信息,而且可以从内存中提取随机数据。换句话说,黑客可以利用这个漏洞直接窃取目标用户的密码、私人密钥和其他敏感用户数据。
谷歌(微博)工程师尼尔梅赫塔(Neal Mehta)和发现这个漏洞的安全公司Codenomicon一起开发出了对应的补丁,但是即便在系统管理员安装好这个补丁之后,用户仍然不能肯定他们的密码是否失窃了。因此,心脏流血漏洞促成了历史上最大规模的修改密码行动。
即使到今天,很多设备上的OpenSSL存在的漏洞仍然没有被补上。扫描工具软件Shodan的发明者约翰麦瑟利(John Matherly)通过分析发现,现在仍有30万台服务器没有安装心脏流血的补丁,其中有很多设备可能是所谓的“嵌入式设备”,比如网络摄像头、打印机、存储服务器、路由器、防火墙等。
OpenSSL TLS心跳读远程信息泄露漏洞 (CVE-2014-0160)
OpenSSL严重bug允许攻击者读取64k内存,Debian半小时修复
通过OpenSSL提供FTP+SSL/TLS认证功能,并实现安全数据传输
OpenSSL “Heartbleed”心脏流血漏洞升级方法
Shellshock
OpenSSL软件中的漏洞存在了两年多的时间,但是Unix的“进入子程序”功能中的一个漏洞却是存在时间最长的漏洞,它至少存在了25年的时间才被发现。任何安装了这个壳工具的Linux或Mac服务器都有被攻击的危险。
结果是,美国计算机紧急响应小组在9月公布这个漏洞后,不到几个小时就有上万台机器遭到恶意软件的DoS攻击。然而灾难并没有结束,美国计算机紧急响应小组最开始发布的补丁很快被发现自身也有一个漏洞。第一个扫描互联网来寻找存在漏洞的Shellshock设备的安全研究员罗伯特大卫格拉汉姆(Robert David Graham)称,这个漏洞比心脏流血漏洞还要糟糕。
Gitlab-shell 受 Bash CVE-2014-6271 漏洞影响
解决办法是升级 Bash,请参考这篇文章。
POODLE