思科Juniper承认路由器也存在“心血”漏洞

发信人: pathdream (求包养), 信区: PDA
标  题: 思科Juniper承认路由器也存在“心血”漏洞
发信站: BBS 未名空间站 (Thu Apr 10 22:14:15 2014, 美东)

被称为“心血”的高风险加密漏洞并非只影响网站，

思科与Juniper两家设备厂商日前
表示，自己的部分网络硬件产品上也出现了这类漏洞。

两大网络设备制造商的表态意味着，黑客也可以在企业网络、家庭网络以及互联网上利
用这一漏洞，非法获取用户名、密码以及其他敏感信息。

包括雅虎、亚马逊以及Netflix在内的许多网站都受到了“心血”漏洞的影响。大部分
网站自周一获知这一消息后便修复了该漏洞。但是，思科与Juniper两家公司表示，这
一安全缺陷也会影响企业与家庭中使用的路由器、交换机与防火墙。

在这类硬件设备上出现的漏洞可能更难修复。安全专家表示，修复这类设备的漏洞需要
采取更多步骤，而企业一般不太可能去检查网络设备的状态。

网络安全研究员兼密码研究员布鲁斯·施耐尔（Bruce Schneier）表示，“整个升级过
程需要抛弃旧设备，拿上信用卡，亲自去一趟百思买买个新产品。”

但这可能称不上是一个合理的解决方案：很可能在周一漏洞公布前，商店中的产品就上
架销售了。所以消费者购买的新产品可能也会包含有缺陷的软件。此漏洞涉及到一个名
为OpenSSL的加密协议。

约翰霍普金斯大学的密码专家马修·格林（Matthew Green）表示，公司通常会使用防
火墙和虚拟专用网（VPN）来保护自己的电脑系统。但如果运行防火墙和VPN的机器受到
了“心血”漏洞的影响，攻击者就可以通过这些设备渗透进网络。

“这非常糟糕。因为连接到这些设备上的人太多了，”格林说。

格林与其他人士表示，这个漏洞也可能会影响部分家庭网络设备，例如无线路由器。

思科在周四更新了一篇客户通告，表示旗下有数十款产品“受到一种漏洞的影响。未授
权的远程攻击者可以通过该漏洞获取”敏感信息。在这篇通告中，思科称公司目前正在
调查65款产品，另有16款产品已经被证实存在漏洞。

思科表示，公司会尽快向客户推出升级补丁。同时，该公司的安全研究人员提供了工具
软件下载，称该软件可以检测到是否有黑客利用这一漏洞。思科发言人在接受采访时请
求记者参看发表在公司网站上的通告。

Juniper则表示，升级旗下设备或许需要等待一段时间。Juniper发言人称，“这不像是
打开开关那么简单。我不知道这些问题需要多长时间才可以解决。”

为了防止攻击，网站和网络设备会使用加密方式，将敏感信息转化为不可读的文本。由
于撰写加密协议非常复杂，开发者通常使用一种名为OpenSSL的免费开源协议。该项目
仅由四名欧洲程序员管理。

“心血”漏洞两年前首次被发现存在于OpenSSL中。在该协议被攻破后，黑客可以从服
务器和设备上获取数据。

http://gengwg.blogspot.com/