阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 9195阅读
  • 5回复

[阿里云新闻]这个“毒液”已经潜伏了11年……

发帖
446
云币
510
漫威漫画《蜘蛛侠》里,有一款外星人,叫毒液。

它,其实并不是一个独立的人,而是一个寄生体 ,一个有思想的外星有机生命体,闲时以液体形式出现。但当它与一个宿主,也就是一个地球人结合,宿主就能一秒钟变Superman,获得非常强大的力量和能力。

上周,有美国安全工作人员发现,云计算的世界里也潜伏着这样一款“毒液”。黑客通过它,可以借着某一台虚拟机的入口,进而控制一台主机,以及与此主机相关联的其他所有虚拟机。

发现“毒液”的工程狮认为,这是一个完美的bug。

握草,bug就是bug,谁听说过bug还有完美版。

一旦黑客控制了宿主机,利用宿主机强大的性能,就可以进行比特币挖矿、密码暴力破解、获取宿主机所有虚拟机上的RSA私匙、数据库……哎呀,不能再愉快地继续想下去了。

反正,消息爆出来,安全界震。惊。了。

阿里虚拟化团队却很淡定。他们静静地评估了一下漏洞,静静地拟定了一个解决方案,静静地拿到测试环境模拟运行,静静地在全集群发布了补丁。

和三月的Xen漏洞热修复一样,此次“毒液”漏洞热修复静静地,没有影影响一笔数据传输,没有打扰一个用户。

这究竟是如何办到的

本期特别邀请到阿里云资深专家张献涛博士来为大家揭秘,不,科普一下“毒液”是如何被扼杀在摇篮里的。张献涛阿里云资深专家
态度漏洞是比安全漏洞更加可怕的问题

Q:“毒液”能伤到我么?

A:告诉大家一个好消息,这个漏洞从来没有被黑客利用过哦。

上周三被发现后,可能被“毒液”影响到的云计算公司纷纷八仙过海各显神通,全力修复。所以,很有可能这就是神一样的一个存在,仅仅存在于黑客和白帽子的脑海里。

Q:“毒液”PK“心脏滴血”,哪个安全漏洞更厉害?

A:“毒液”和“心脏滴血”并没有可比性。

“心脏滴血”可能造成我们在网上的各种用户名、密码、即时信息邮箱信息以及公司重要的文件和通讯往来被黑客轻易窃取。

“毒液”因为入侵门槛太高了。以至于,该漏洞存在了11年,一直没有被利用过。所以它暂时只是一个理论存在的威胁。

Q:为什么老有漏洞爆出来,云上的小伙伴你们还好么?

A:软件都是人写的。人无完人,人写的软件,当然有可能犯错。当这些错误以内部代码的方式表现出来。常常要过了很长时间才会被发现。

零漏洞,零bug的系统是不存在的。关键在于及早发现并修复错误。所以, 态度漏洞是比安全漏洞更加可怕的问题。

很多时候,对待此类漏洞体现了一家云计算厂商的技术能力和对客户数据安全的重视。


阿里云官方微信服务号“阿里云Club”上线啦~欢迎关注!





[ 此帖被雅蕾在2015-05-20 16:54重新编辑 ]
级别: 论坛版主
发帖
6215
云币
15223
只看该作者 沙发  发表于: 2015-05-20
大家提问,请详细描述问题。
级别: 科学怪人
发帖
9441
云币
14683
只看该作者 板凳  发表于: 2015-05-28
bug修复了就好
级别: 菜鸟
发帖
51
云币
60
只看该作者 地板  发表于: 2015-05-28
Re这个“毒液”已经潜伏了11年……
bug修复了就好
级别: 新人
发帖
2
云币
2
只看该作者 4楼 发表于: 2015-07-08
Re这个“毒液”已经潜伏了11年……
路过,瞧瞧吧
级别: 新人
发帖
1
云币
1
只看该作者 5楼 发表于: 2016-01-06
Re这个“毒液”已经潜伏了11年……
请问博主““毒液”是如何被扼杀在摇篮里的”?????????????完全没看到干货。。。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 55 - 7 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)