2個(gè)多月前,整個(gè)互聯(lián)網(wǎng)都被“Heartbleed”這個(gè)OpenSSL軟件的安全漏洞所震驚。事后,盡管大多數(shù)公司都已經(jīng)更新了其服務(wù)器軟件,但不幸的是,還有不少人很快地就將這件事給遺忘掉了。據(jù)來(lái)自Errata Security的一份新報(bào)告稱:仍有超過(guò)30萬(wàn)臺(tái)服務(wù)器在運(yùn)行著過(guò)時(shí)的、未打補(bǔ)丁的OpenSSL版本。也就是說(shuō),這些服務(wù)器直接向惡意攻擊者敞開了大門。
人總是健忘的(包括給OpenSSL打Heartbleed補(bǔ)丁這件事)。
通過(guò)掃描服務(wù)器最常用的端口之一(443),Errata可得到服務(wù)器的反饋并獲知其所使用的OpenSSL版本,而惡意攻擊者也可對(duì)那些存有“Heartbleed”漏洞的服務(wù)器圖謀不軌。
當(dāng)Heartbleed漏洞首次公開時(shí),Errata在掃描后發(fā)現(xiàn)了超過(guò)60萬(wàn)受影響的服務(wù)器。而在一個(gè)月后,這個(gè)數(shù)字降低到了30萬(wàn)。
但當(dāng)其于昨晚再次掃描時(shí),這個(gè)數(shù)字竟然只下降了9000。
這是個(gè)令人擔(dān)憂的現(xiàn)象,因?yàn)樗砻?,許多服務(wù)器管理員根本不會(huì)為一個(gè)“被普遍認(rèn)為非常嚴(yán)重的安全問(wèn)題”所動(dòng)。
Errata Security會(huì)在下月再進(jìn)行一次掃描,但愿這個(gè)數(shù)字能夠迅速減少下去。