猎云网 4月9日报道
昨晚间,安全协议OpenSSL爆出本年度最严重的安全漏洞。在此影响下,京东分站也被乌云平台指出存在安全隐患。
乌云平台上作者“Knight”昨晚表示,京东某分站openssl漏洞导致敏感信息泄露及全站随机用户登录(证明可登录)。随后京东官方也证实了该漏洞存在,并进行了及时修复。
资料显示,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。
OpenSSL该次被爆出的漏洞,被黑客社区中被命名为“心脏出血”,利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到约30% https开头网址的用户登录账号密码,包括大批网银、购物网站、电子邮件等。
作者Knight在乌云平台上表示,在检测到京东分站OpenSSL漏洞后表示,“已拿到部分用户,可登录,当然也可以帮他们花光他们的余额等等……”
此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。
据了解,从昨天下午开始,大量网站已开始紧急修复此OpenSSL高危漏洞,但是修复此漏洞普遍需要半个小时到一个小时时间,大型网站修复时间会更长一些。
