广 告 位 招 租 QQ:527116945
当前位置: 首页 » SEO » seo » 正文

seo搜索引擎排名优化

放大字体  缩小字体 发布日期:2022-05-25 17:30:17  来源:seo搜索引擎排名优化  作者:tu  浏览次数:1
核心提示:seo搜索引擎排名优化-Oracle发布关于MySQL服务的重大安全漏洞说明今天和朋友们分享的是关于OpenSSL高危CCS注入漏洞,由于这个漏

seo搜索引擎排名优化-Oracle发布关于MySQL服务的重大安全漏洞说明

今天和朋友们分享的是关于OpenSSL高危CCS注入漏洞,由于这个漏洞是OPenSSL ChangeCipherSpec设计缺陷造成,所以被称为CCS注入漏洞。通过这个漏洞,攻击者可以发起中间人攻击并利用这个漏洞篡改或者监听SSL加密传输的重要数据。

此漏洞的发现时间是:2014年6月

漏洞等级:高危

漏洞原理:

SSL握手过程中 两端会发起 ClientHello 和 ServerHello 握手消息。在握手过程中双方会协商一些会话参数,如协议版本、加密套件、会话密钥等SSL协议中 允许双方在握手阶段通过使用ChangeCipherSpec(CCS) 来修改连接的加密策略。按照标准,CCS消息应该是在 握手加密参数协商完成之后 最终确认消息发送之前 来发送。但 Openssl没有这么设计,它允许 CCS消息在 加密参数协商完成之前发送。

中间人攻击可以利用这点 在 一个SSL握手过程中向客户端和服务端分别发送一个 CCS包并用长度为零的预主密钥来协商会话密钥,这样攻击者就可以知道会话密钥 并可以篡改或截获SSL通信数据。

参考: https://www.trustasia.com/openssl-ccs

影响版本:

openssl 0.9.8y 之前版本

openssl 1.00到1.0.01

openssl 1.0.1到1.0.1g

修复方法

更新openssl到主版本的最新更新小版本

seo搜索引擎排名优化-SEO相关(1)

关于OpenSSL高危心脏出血漏洞对于网站来说,是一个非常严重的问题,这个漏洞可以使得攻击者能够从网站的内存当中读取最多64KB的数据,并且无需任何特权信息或者身份验证,就可以偷来X.509证书的私钥、用户名与密码、聊天工具的消息、电子邮件以及重要的商用文档好通信等数据。今天转载来自百度安全指数所发布的一篇关于这种漏洞的介绍,正文部分如下:

发现时间:2014年4月

漏洞等级:高危

漏洞原理

OpenSSL的代码中没有对读长度进行检查,攻击者可以利用这个缺陷,在一个心跳请求中获取到服务器进程中最大为64KB的数据。通过发出多个这样的请求,攻击这就可以无限制地获取内存数据。服务器的进程中必然存在敏感信息:例如会话票证的密钥、TLS的会话密钥以及各类密码,攻击者就可以得到这些信息。

影响版本:OpenSSL 1.0.1-1.0.1f

漏洞影响

TLS协议有史以来遭遇的最严重的问题,也是TLS史上速度最快的漏洞修复。

修复方案

第一步:打补丁

升级OpenSSL到最新版本或重新编译OpenSSL 1.0.1,配置OpenSSL以删除对心跳协议的支持。

$ ./config –DOPENSSL_NO_HEARTBEATS

$ make

第二步:泄漏信息清理

替换服务器的私钥,重新签发新证书并吊销旧证书;

如果使用了会话票证,替换会话票证的对称密钥;

服务器内存中其他密码的替换,例如用户密码,根据风险预测建议用户修改密码;例如数据库密码。

seo搜索引擎排名优化-SEO相关(2)

今天转载一篇来自百度安全指数平台在2018年1月18日发布的关于MySQL重大安全漏洞通告的内容,正文部分如下:Oracle 官方近日发布安全公告,公告修复 MySQL25 个安全漏洞,在这些安全漏洞中,影响较大的 CVE-2018-2696 漏洞可以在无需认证的条件下,远程利用导致拒绝服务攻击。本次安全公告披露的安全漏洞数量较多,建议用户关注。

漏洞编号: CVE-2018-2696,CVE-2018-2591,CVE-2018-2562

漏洞描述:

CVE-2018-2562 MySQL 分区未指定的漏洞

漏洞源于 Oracle MySQL 服务器分区组件。影响 5.5.58 及之前版本,5.6.38 及之前的版本,5.7.19 及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击,也可以无需授权更新、插入、删除数据库中的可以访问的数据。

漏洞等级:高危

CVE-2018-2591 MySQL 分区未指定的漏洞

漏洞源于 Oracle MySQL 服务器分区组件。影响 5.6.38 及之前的版本,5.7.19 及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击。

漏洞等级:中危

CVE-2018-2696 MySQL: sha256_password 认证长密码拒绝式攻击

该漏洞源于 MySQL sha256_password 认证插件,该插件没有对认证密码的长度进行限制,而直接传给 my_crypt_genhash() 用 SHA256 对密码加密求哈希值。该计算过程需要大量的 CPU 计算,如果传递一个很长的密码时候,会导致 CPU 耗尽。而且该插件 MySQL 的实现中使用 alloca() 进行内存分配,无法对内存栈溢出保护,可能导致内存泄露、进程崩溃,从而可能实现代码执行。

MySQL <= 5.6.38 和 MySQL <= 5.7.20 受影响。

漏洞等级:高危

漏洞修复建议 (或缓解措施)

目前 Oracle 官方已经发布最新版本,建议自建 MySQL 服务用户及时手工下载更新:

MySQL 5.6.39 版本:https://dev.mysql.com/downloads/mysql/5.6.html

MySQL 5.7.21 版本:https://dev.mysql.com/downloads/mysql/5.7.html

更多信息参考 :http://www.oracle.com/technetwork/security-advisory/cpujan2018verbose-3236630.html#MSQL

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
 

 
推荐图文
最新热点文章