来源:蜘蛛抓取(WebSpider)
时间:2015-02-06 02:24
标签:
openssl 1.0.1e 漏洞
解析OpenSSL漏洞:影响巨大 两年前已存在|OpenSSL_互联网_新浪科技_新浪网
解析OpenSSL漏洞:影响巨大 两年前已存在
【推荐阅读】
新浪科技讯 北京时间4月9日上午消息,美国新闻网站Vox周二撰文,对当天公布的OpenSSL“心脏流血”漏洞进行了全面解读。
以下为文章全文:
什么是SSL?
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。
这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、帖子、信用卡账号或其他隐私信息的具体内容。
SSL最早在1994年由网景推出,1990年代以来已经被所有主流浏览器采纳。最近几年,很多大型网络服务都已经默认利用这项技术加密数据。如今,、和Facebook都在使用SSL默认对其网站和网络服务进行加密。
什么是“心脏出血”漏洞?
多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给监听者。OpenSSL大约两年前就已经存在这一缺陷。
工作原理:SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
该漏洞的影响大不大?
很大,因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德?菲尔腾(Ed Felten)表示,使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。
丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。
谁发现的这个问题?
该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。
谁能利用“心脏流血”漏洞?
“对于了解这项漏洞的人,要对其加以利用并不困难。”菲尔腾说。利用这项漏洞的软件在网上有很多,虽然这些软件并不像iPad应用那么容易使用,但任何拥有基本编程技能的人都能学会它的使用方法。
当然,这项漏洞对情报机构的价值或许最大,他们拥有足够的基础设施来对用户流量展开大规模拦截。我们知道,美国国家安全局(以下简称“NSA”)已经与美国电信运营商签订了秘密协议,可以进入到互联网的骨干网中。用户或许认为,Gmail和Facebook等网站上的SSL加密技术可以保护他们不受监听,但NSA 却可以借助“心脏流血”漏洞获取解密通讯信息的私钥。
虽然现在还不能确定,但如果NSA在“心脏流血”漏洞公之于众前就已经发现这一漏洞,也并不出人意料。OpenSSL是当今应用最广泛的加密软件之一,所以可以肯定的是,NSA的安全专家已经非常细致地研究过它的源代码。‘
有多少网站受到影响?
目前还没有具体的统计数据,但发现该漏洞的研究人员指出,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。SSL还被用在其他互联网软件中,比如桌面电子邮件客户端和聊天软件。
发现该漏洞的研究人员几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题,各大网站需要尽快安装最新版OpenSSL。
雅虎发言人表示:“我们的团队已经在雅虎的主要资产中(包括雅虎主页、雅虎搜索、雅虎电邮、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了适当的修复措施,我们目前正在努力为旗下的其他网站部署修复措施。”
谷歌表示:“我们已经评估了SSL漏洞,并且给谷歌的关键服务打上了补丁。”Facebook称,在该漏洞公开时,该公司已经解决了这一问题。
发言人也表示:“我们正在关注OpenSSL问题的报道。如果确实对我们的设备和服务有影响,我们会采取必要措施保护用户。”
用户应当如何应对该问题?
不幸的是,如果访问了受影响的网站,用户无法采取任何自保措施。受影响的网站的管理员需要升级软件,才能为用户提供适当的保护。
不过,一旦受影响的网站修复了这一问题,用户便可以通过修改密码来保护自己。攻击者或许已经拦截了用户的密码,但用户无法知道自己的密码是否已被他人窃取。(书聿)
&&|&&&&|&&&&|&&
您可通过新浪首页顶部 “”, 查看所有收藏过的文章。
,推荐效果更好!
看过本文的人还看过今天在 HackersNews 上看到了这个新闻,票数和讨论都非常多,看起来相当严重:另外有一个测试网站是否受到影响的服务: (现在长期503)根据页面上的介绍,这个 OpenSSL 的实现漏洞可以在握手阶段获取到主机上的敏感内存数据,甚至包括 SSL 证书私钥!漏洞2011年底出现,昨天(日)才刚刚被修复。想问一下知乎上的信息安全专业人士们,这个漏洞的可利用性和影响范围究竟有多大?如果是,那么这个曾经的 0day 是否被广泛利用?
实在是看不过去了,晒张图吧。小白表示不明白【知道创宇】为何没有提一下自己的产品【加速乐】也出现此漏洞了呢?加速乐修复很快,但是不保证没有人对其攻击过,加速乐修复后就开始宣传并宣称各大厂商有漏洞,需要修复请使用加速乐,这样攻击他人来提高自己形象的回答还是少发为妙!Openssl的漏洞既然早有了,那你们之前在干嘛?看图吧,加速乐的服务器同样存在Openssl漏洞,别到处贬低别人鼓吹自己了!
既然大家都这么关注,那么我就再爆点猛料好了。我一骇客界的朋友Lwqn跟我说他们一年前就已经在利用这个漏洞了,获取到了不少大网站的敏感数据,这个消息让我彻夜难眠。他发了一个exploit的demo给我,原链接已经撤掉了,所以我放到了gist上: Pyhton3版的在这里更新:heartleech()可以自动利用此漏洞提取私钥。下图是对DEF CON进行的Heartbleed测试DEF CON在我测试完一个小时后已修复此漏洞。事实证明此漏洞的确会造成严重的memory dump,因为与所有OpenSSL数据共享同一块内存,dump出来的有可能是任何内容:用户请求、密码,甚至是服务器的私钥!只要不断进行攻击就很有可能拿到关键的数据。这是一个很严重的漏洞,涉及开启了Heartbeat扩展的OpenSSL版本1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1刚才在我们的服务器(Gentoo)上看了一下,用的正是1.0.1c的受威胁版本,不过我们并没有开启Heartbeat,所以并不会受到实际威胁,但还是打上了补丁,以备不时之需。如果你只是想检测一下你的服务器受不受威胁,现在有一款现成的工具可以用也可以直接使用下面的OpenSSL命令来判断/usr/local/bin/openssl s_client -connect $website:443 -tlsextdebug 2&&1| grep 'TLS server extension "heartbeat" (id=15), len=1'
这个命令只告诉你是否有启用Heartbeat,但并不能说明是否受到威胁,还需要结合OpenSSL的版本进行判断。Hacker News上面有人给出了这段脚本,能检测Alexa Top Million网站开启Heartbeat的服务器INPUT=websites.csv
OLDIFS=$IFS
[ ! -f $INPUT ] && { echo "$INPUT file not found"; exit 99; }
while read rank website
echo "checking $website for heartbeat..."
echo -e "quit\n" | /usr/local/bin/openssl s_client -connect $website:443 -tlsextdebug 2&&1| grep 'TLS server extension "heartbeat" (id=15), len=1'
done & $INPUT
IFS=$OLDIFS
跑了一小会儿,但好像并没发现什么有价值的信息。其实Heartbeat作为CRM在OpenSSL中用到的机会本就不多,再加上大网站的反应都很迅速,不容易出现大的纰漏。至于0Day发布之前有没有被人利用就不得而知了。现在各大发行版都已经打上补丁,请各位尽快更新。=====这个部分是写给非专业人士的,技术控们请直接跳=====今天接到中国之声的采访邀请,就硬着头皮对这个攻击的技术原理做了点简单通俗的讲解,希望有助于大众正确理解并认识到这个漏洞的原理和影响。这里把采访的具体内容放上来作为这个答案的补充。先吐槽一下央广硬要把我名字Rix念成“雷克萨”,发个英文就那么难么?先介绍一下这个漏洞是什么时候产生的,有多大影响?这个漏洞从日OpenSSL发布1.0.1版本时开始产生威胁(如果追踪代码更新的话应该是2011年11月份),至今已经有两年的威胁周期,只是最近才被人发现并做出修正。在威胁期间,我们无法得知有多少黑客发现并利用这个漏洞进行大范围的网络攻击活动,因为这种攻击方式是非常难以被察觉到的。因此如果做最坏的估计,也许所有大网站的用户数据都已泄漏,影响与危害直接涉及个人利益和安全。黑客是如何利用这个漏洞窃取用户的个人信息的?举一个不太恰当但是很形象的例子来解释,如果我们把网络服务器比作一个邮局,每个用户是写信人和收信人,用户从服务器上接受数据就相当于收取信件,得自己拿一个袋子到邮局去取,然而这个漏洞就发生在邮局将信件装入袋子的这个过程中。邮局的装袋机器(节目上我说的是工作人员)出于某种原因用户提供多大的袋子就装多少信件,因为一般人都会提供与自己信件数量等同大小的袋子,所以正常状态下并不会发生问题;然而如果攻击者属于自己的信件本就很少,却给了邮局一个很大的袋子,装袋机器就会鬼使神差地把别人的信件也装入袋子里,直到袋子被装满。所以攻击者可以通过这个方法看到随机的他人信件,实际上也就是窃听到其他用户的敏感数据,其中可能包括了用户名、密码、银行账号等等。更严重的是,这个装袋机器还有可能把自己邮局的大门钥匙,也就是我们密码学中所说的私钥,也装进袋子里,攻击者一旦获得这把钥匙,就相当于能随意进出邮局内部,查阅任何人的信件等等。(实际上是以服务器的名义读取和发送任何人的任何数据)当然私钥并不是那么容易获取到的,要进行相当多次的攻击才有机会得到。用户数据会一次性都泄漏掉吗?不是的。在实践中,袋子的大小是有最大限制的,所以即使攻击者提供一个无穷大的袋子,每次装回来的数据也是有固定最大数量的,详细来说黑客每次攻击所获得的数据仅有64KB,所以小量的攻击是不会泄漏所有用户的数据的。但是由于平均一台计算机一秒钟可以执行一到两次这样的攻击,黑客还是可以很轻松地大面积抓取用户的敏感信息。对那些抱有“我账户里又没几个钱,黑客不会有兴趣来攻击我,就算攻击了也得不到什么好处”想法的人有什么建议?(这问题没问,我自己拟的)当你理解了这个攻击背后的原理之后,你就会明白,由于黑客获取到的是完全随机的内存数据,他们是无法通过这个漏洞针对特定目标进行定位的攻击的,所以他们只能采取撒网式的捕捞攻击,捞到什么是什么,不求质却求量,因此每一个用户都是他们的目标,所有人被攻击的概率都是一样的,不存在“感兴趣的目标”一说。我们有绝对的必要遏止事态的恶化,因为就算每个用户损失得很少,但是积少成多,会给社会造成严重的负面影响。普通用户该如何保障自己的信息安全呢?有很多人问我是不是改了密码就没事了呢,我回答是不一定。首先用户是无法自行修补这一漏洞的,只要网站一天不修补漏洞,你的新密码就依然会受到威胁。所以最好的办法就是不要尝试登录甚至用保存了密码的浏览器访问你的服务账户,只要在威胁期间你以账号登录产生数据就可能会有隐私泄漏。然后请关注网站官方的新闻,如果有权威人士正式宣布此网站不受威胁或已经修补漏洞,再登录账户,并切记要修改密码,因为你无法确定在这两年的威胁周期内你的密码是否有泄露。感谢
下面的建议,我觉得非常重要,请各位务必相互提醒!由于这次漏洞可能造成许多网站的证书泄露,近期内会有非常多网站甚至是CA的证书需要吊销换新,所以请务必在浏览器中开启“检查服务器证书吊销状态”的选项!!还有什么要补充的观点吗?我觉得有必要再唠两句关于人们对的网络安全的误解。首先,我希望不要再有人说“SSL协议有漏洞”之类的话。这次的漏洞是因为OpenSSL这款软件在实现上的纰漏造成的,并不代表SSL这一安全协议标准出现漏洞。这样的误解是对SSL设计者们以及广大密码学界研究人员的一种不敬。其次,我见到有人因为这次的漏洞就对开源安全软件甚至安全协议标准产生了怀疑和不信任,有人甚至觉得使用闭源软件甚至自主研发的加密算法会更安全。这是很多对密码学不了解的技术从业者非常容易犯下的错误。从理论角度上来说,已经有非常多的例子证明了看似聪明的算法实际拥有的脆弱的安全性,比如WEP、CSS、古老的OTP等等。就算你的算法实现过程不为人知,也有可能仅从密文上就分析出漏洞,直接进行破译,类似的案例也有不少。今日被标准化、模块化的加密算法和开源安全软件都是经过无数研究人员多年探索分析做出来的,没有什么商业公司能拥有如此强大的研究实力。从开发的角度来说,开源就意味着源代码时刻接受所有人的审查,所以出现漏洞的几率相当少。闭源软件虽然阻挡了大部分人对内部原理的透析,却无法阻挡黑客们通过逆向工程的分析,反而给黑客提供了垄断漏洞信息,拉长威胁周期的条件。所以请不要抵触开源软件,相反,越是遇到类似今日的情况就越是要给予开源社区鼓励和帮助,你的一分捐助能为你换来下一个十年、二十年的安全网络。======以下纯粹是技术吐槽,不喜请绕行=======英文版漏洞分析请看漏洞出现在ssl/d1_both.c中,对用户传入的payload长度没有检查就进行内存拷贝。int
dtls1_process_heartbeat(SSL *s)
unsigned char *p = &s-&s3-&rrec.data[0], *pl;
unsigned short hbtype;
unsigned int payload;
unsigned int padding = 16; /* Use minimum padding */
p指向一条SSLv3的记录,结构如下typedef struct ssl3_record_st
/* type of record */
unsigned int length;
/* How many bytes available */
unsigned int off;
/* read/write offset into 'buf' */
unsigned char *data;
/* pointer to the record data */
unsigned char *input;
/* where the decode bytes are */
unsigned char *comp;
/* only used with decompression - malloc()ed */
unsigned long epoch;
/* epoch number, needed by DTLS1 */
unsigned char seq_num[8]; /* sequence number, needed by DTLS1 */
} SSL3_RECORD;
回到上面的程序,接下来对指针进行一些操作/* Read type and payload length first */
hbtype = *p++;
n2s(p, payload);
这里先读取个type,然后n2s把下一个length的两个字节放到payload里面,作为后面内存拷贝的长度。unsigned char *buffer, *bp;
/* Allocate memory for the response, size is 1 byte
* message type, plus 2 bytes payload length, plus
* payload, plus padding
buffer = OPENSSL_malloc(1 + 2 + payload + padding);
bp = buffer;
/* Enter response type, length and copy payload */
*bp++ = TLS1_HB_RESPONSE;
s2n(payload, bp);
memcpy(bp, pl, payload);
注意这个payload长度是用户请求的,而在分配的时候完全没有对于实际的SSL记录长度进行审查,bp会直接返回给用户,所以攻击者可以dump出任意长度(最大为65535(payload)+1+2+16(padding)=64k)的数据,而pl也是用户传入的,只要把pl设置的很小,dump出来的数据就会包含更多别的敏感数据。具体的利用方法见exploit demo,就不详细分析了。
最后更新时间: 21:47。来自知道创宇ZoomEye团队的特殊视角!写在前面一切权威看爆这次漏洞的官方动态:(Heartbleed这个命名不错,载入史册)。@知道创宇安全研究团队 实测可以Dump出淘宝、微信、陌陌、某些支付类接口、某些比特币平台、12306等各大使用OpenSSL服务的一些内存信息,里面有用户等的敏感内容(有些重要网站含明文密码)。OpenSSL这次被比做「心脏出血」。可见影响。一个安全套件不安全了……下图的科普可以让大众明白这个OpenSSL漏洞是怎么回事:权威统计而且还不知是否有更进一步影响(小道八卦影响比想象的严重)。来自Heartbleed的官方说明(大概翻译下):OpenSSL在Web容器如Apache/Nginx中使用,这两的全球份额超过66%。还在邮件服务如SMTP/POP/IMAP协议中使用,聊天服务如XMPP协议,VPN服务等多种网络服务中广泛使用。幸运的是,这些服务很多比较古老,没更新到新的OpenSSL,所以不受影响,不过还是有很多用的是新的OpenSSL,都受影响!特别说明下:现在大家的聚焦都在HTTPS网站(443端口),实际上还有更多敏感服务受影响,我们的研究也是在不断持续推进!不可草率判断!!1. HTTPS服务(443端口)来自@ZoomEye 的统计(4.8号):全国443端口:1601250,有33303个受本次OpenSSL漏洞影响!注意这只是443端口。全球443端口,至少受影响有71万量级(实际应该大于这个,待修正)。ZoomEye OpenSSL漏洞国内的趋势监控(随时更新,仅是443端口):第一天:33303 台服务器(说明:国内是4.8号爆发的,当天的影响服务器情况!)第二天:22611 台服务器(说明:辛苦一线白帽子与运维人员等的辛苦熬夜,减了1/3!而且都是知名业务,如百度、360、微信、陌陌、淘宝等,这点非常赞!)第三天:17850 台服务器(说明:又减少了近500台服务器,我估计剩下的都不那么大,不过不排除有很重要的!)第四天:15661 台服务器(说明:相比第一天减少了1/2!不过减少趋势慢了……)第五天:14401 台服务器(说明:减少趋势持续缓慢……)第六天:13854 台服务器(说明:减少趋势持续缓慢……)老外有个基于全球TOP1000的粗暴根域OpenSSL探测列表,仅供参考:说这个粗暴是因为:仅对「根域」。2. 邮件服务来自@ZoomEye 的统计(4.11号):最新全球受影响服务及主机 SMTP Over SSL:147292台;POP3 over SSL:329747台;IMAP over SSL:353310台。实测可以获取某些邮件服务的敏感数据。3. 可视化大家可以关注ZoomEye专门针对OpenSSL漏洞制作的全球监控页面(在Chrome或基于Webkit内核的浏览器下,效果最佳,目前仅是443端口):我们未来会持续完善这个页面,给大家一个专业、公正的评判结果,辛苦ZoomEye团队的几个小伙伴辛苦突击!截图两张:这个漏洞的全球趋势图,会在一周后数据量足够的情况下给出。疯掉今晚(4.8号)不知道有多少团队要熬夜:甲方,加急升级OpenSSL(如果升级真的可以的话,目前来看是可以);乙方,像我们这样的安全公司,在给我们全线产品+客户提供安全应急,并给社会输出有价值的参考信息;地下黑客,刷库,各种刷!!!每次这种大事,乌云都是被各路白帽子刷分的:我们已经联合国家有关单位进行应急响应,我相信这次风波会很快平息。用户防御建议对于普通用户来说只要发现浏览器地址栏的网址是https开头的都应该警惕,因为这次OpenSSL漏洞影响的正是https网站,本来是安全传输的却也不安全了。可惜的是普通用户来说,有时候很难发现所使用的服务背后是https,比如:有的仅在登录过程会https,之后都是http,典型的如百度的登录;如果是手机上的APP等,普通用户就更不知道背后是不是https链接;4.8号:和某银行朋友交流,他们更新这个漏洞,需要2天时间!!这段时间,用户谨慎吧,不登录就不登录(因为你登录了你的相关明文信息,如用户名密码会在那万恶的64K内存中,这段内存是可以被OpenSSL这个漏洞刷出来的……),等过3天或这些网站说修复了,大家再继续使用服务……如果已经登录过,你紧张的话,就修改密码吧。4.10号:最新的消息是「腾讯电脑管家」联合「安全联盟」发布了针对用户的解决方案:做了两件事情:一方面对50万个热门的网站扫描是否存在漏洞;一方面会在管家用户访问https站点时,云端确认这个站点是否存在漏洞。如果用户访问有漏洞的站点,就出拦截页面提示用户,建议不要登录。这个非常赞!4.12号:那些知名的大网站,现在去修改密码会靠谱很多,因为这些大网站几乎修复完全了。厂家防御建议首先,这类攻击日志据Heartbleed官方说,无日志记录,追查不到。不过IDS/IPS等可以检测/防御(我们的加速乐也可以)。别犹豫了!!尽快升级OpenSSL吧!!如果厂家负责的话,可以学国外知名云平台厂家Heroku的做法:升级后,提醒用户更改密码、提醒云服务使用者更新SSL密钥重复证书。不过不太指望国内厂家这样做,因为我相信用户绝对会疯掉。附录参考0. (爆这次漏洞的官方)1. ZoomEye团队的:2. 3. @Evilm0 ----------------------这事的影响超乎想象,随时更新。By 知道创宇 余弦,微信公众号「Lazy-Thought」。vmware esxi受到openssl漏洞影响 怎么修复_百度知道
vmware esxi受到openssl漏洞影响 怎么修复
提问者采纳
电脑管家可以在发现高危漏洞(仅包括高危漏洞。尤其适合老人,打开腾讯电脑管家——工具箱——修复漏洞,第一时间自动进行修复:进入电脑管家“修复漏洞”模块—“设置”,无需用户参与。电脑管家建议用户设置开启自动修复漏洞功能,进行漏洞扫描和修复,不包括其它漏洞)时,点击开启自动修复漏洞即可楼主你好建议软件修复。开启方式如下、小孩或计算机初级水平用户使用,最大程度保证用户电脑安全,开启后
其他类似问题
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁软件与服务//
OpenSSL心脏出血!最致命漏洞如何应对?
【IT专家网综合】日,互联网世界发生了两件大事,除了微软正式停止XP系统的支持服务,还有OpenSSL协议Heartbleed(心脏出血)漏洞的曝光,后者能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据。
作为XP的大市场,国人通常更关心第一件事,但其实第二件事的影响可能会更大,波及支付宝、网银在内的大量互联网应用。本文将为您总结OpenSSL的原理、Heartbleed漏洞的详情和影响,以及免受损失的应对之道。
什么是OpenSSL协议?
SSL(Secure SocketLayer,安全套接层)协议是使用最为普遍网站加密技术,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。简单的说,就是加密传输的数据,避免被截取监听等。
而OpenSSL则是开源的SSL套件,作为一个多用途的、跨平台的通信加密工具,为全球成千上万的web服务器所使用。Web服务器正是通过它来将密钥发送给访客然后在双方的连接之间对信息进行加密。URL中使用https打头的连接都采用了SSL加密技术。在线购物、网银等活动均采用SSL技术来防止窃密及避免中间人攻击。
但现在,OpenSSL自己出现了漏洞,而且是非常高危胁的漏洞,直接导致了本该是让为了更安全的设置变成了致命的危险。利用这个漏洞,黑客可以轻松获得用户的cookie,甚至明文的帐号和密码。
Heartbleed漏洞,当前互联网上最危险的漏洞
OpenSSL官方网站4月7日发布公告,安全公司Codenomicon的研究人员和Google安全小组的Neel Mehta相互独立地发现OpenSSL“heartbleed”存在安全漏洞(漏洞编号:CVE-)。该漏洞发生在OpenSSL对TLS的心跳扩展(RFC6520)的实现代码中,由于遗漏了一处边界检查,使攻击者无需任何特权信息或身份验证,就能够从内存中读取请求存储位置之外的多达64 KB的数据,可能包含证书私钥、用户名与密码、聊天消息、电子邮件以及重要的商业文档和通信等数据。
简单地说,因为Heartbleed Bug存在,能让互联网的任何人读取系统保护内存,允许攻击者窃听通讯,并通过模拟服务提供者和用户来直接从服务提供者盗取数据,让上千万服务器中的加密用户数据暴露。
一名研究员表示,“任何人都可以利用这种漏洞在互联网上获取数据,而且场地不限,我可以在自己的办公室,也可以在其他国家实现数据的盗用。”
Heartbleed漏洞之所以得名,是因为用于安全传输层协议(TLS)及数据包传输层安全协议(DTLS)的Heartbeat扩展存在漏洞。Heartbeat扩展为TLS/DTLS提供了一种新的简便的连接保持方式,但由于OpenSSL 1.0.2-beta与OpenSSL 1.0.1在处理TLS heartbeat扩展时的边界错误,攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容,导致攻击者不仅可以读取其中机密的加密数据,还能盗走用于加密的密钥。
Heartbleed漏洞是2011年12月引入OpenSSL库中的,日1.0.1正式版发布后,含有漏洞版本的库被广泛使用,受影响版本为OpenSSL 1.0.1和1.0.2-beta,更早版本的OpenSSL(1.0.0和0.9.8等)不受影响。
波及数十万服务器
据谷歌和网络安全公司Codenomicon的研究人员透露,OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久。三分之二的活跃网站均在使用这种存在缺陷的加密协议。因此,许多人的数据信息开始被暴露,每个人都被卷入到这次灾难的修正中去。放眼放去,我们经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站,基本上都出了问题。
而在国外,受到波及的网站也数不胜数,就连大名鼎鼎的NASA(美国航空航天局)也已宣布,用户数据库遭泄露。
外媒估计,估计受影响的服务器数量可能多达几十万。其中已被确认受影响的网站包括雅虎、Imgur、OKCupid、Eventbrite以及FBI网站等,不过Google未受影响。
网络安全公司Qualys的一名研究员伊万•瑞斯提克(Ivan Ristic)创建了一种测试网站是否存在Heartbleed漏洞的工具。工具发布当天,他的网页访问量增加了7倍。他估计,使用SSL的服务器中,有30%存在漏洞。
经瑞斯提克的工具测试显示,许多大型网站,如谷歌、亚马逊、eBay等网站较安全,未受到这种漏洞的影响。雅虎发言人则表示,“我们的团队已经成功地完成雅虎各个网站的修复。”
由于大多数的隐私工具都是基于OpenSSL,所以这次Bug影响的范围会更加深远。漏洞的修复可能需要几天时间,服务器重置证书的过程也是缓慢和昂贵的,在这期间会给攻击者留出很多自由发挥的空间。
企业的解决之道
可能有些同学觉得都不要去访问那些是https的网站了,其实也大可不必,官方其实已经放出补丁了,修复方法:
使用OpenSSL的用户可以升级到最新版本OpenSSL 1.0.1g修复该漏洞,无法立即升级的用户可以以-DOPENSSL_NO_HEARTBEATS开关重新编译OpenSSL,1.0.2-beta版本的漏洞将在beta2版本修复。
在这里,提供在线检测的工具给大家:http://filippo.io/Heartbleed/,你可以在上面查看各个网站安全与否,如果被标为红色,请暂时不要登录。
普通人如何应对?
普通用户如何保护自己免受攻击呢?科技博客网站CNET咨询网络安全专家之后,给出了以下操作建议:
1. 不要在受影响的网站上登录帐号――除非你确信该公司已经修补了这一漏洞。如果该公司没有向你通告相关进展,你可以询问他们的客服团队。
很多人的第一反应是赶快修改密码,但是网络安全专家的建议是等到网站确认修复再说。
2. 一收到网站的安全修补确认,就立即修改银行、电子邮件等敏感帐号的密码。即便你采用了两步认证(即在密码之外多一重验证信息),我们也推荐你修改密码。
3. 不要不好意思联系掌握你的数据的小企业以确保个人信息安全。雅虎和Imgur等知名公司当然知道这个问题,但是一些小企业可能还没发现它,所以你要积极主动地维护个人信息安全。
4. 密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行报告中的陌生扣款。
但是,即便按照上述方法操作,网页浏览活动也依然存在一定风险。据说Heartbleed甚至能影响追踪网站用户活动的浏览器Cookie,所以只访问不登录也有风险。
后续影响:PFS是未来?
塞翁失马,焉知非福。此次风波将会让整个互联网重新思考网络安全。Heartbleed风波过后,互联网公司必将改变它们的安全措施。据悉,很多大型互联网公司都已经转向了PFS(完全正向保密)技术――它能让密钥的保存时间变得很短。有评论认为,这可能是未来的一个发展方向。
关键词:OpenSSL,Heartbleed,漏洞,网络安全,心脏出血
责任编辑:周钜翔
All Rights Reserved, Copyright , .cn渝ICP证B2-号 如有意见请与我们联系 powered by 天极内容管理平台CMS4i
京公网安备84号
