OpenSSL漏洞介绍
漏洞简介:
2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本的心跳包模块存在严重漏洞(CVE-2014-0160)。攻击者可以通过构造特殊的数据包,直接远程读取存在漏洞的OpenSSL服务器内存中多达64KB的数据,极有可能导致网站用户帐号密码等敏感数据被非法获取。漏洞发现者甚至声称可以直接获取到证书私钥和重要的商业文档。
漏洞影响:
国内大量使用HTTPS协议的网站相当一部分都存在此漏洞,其中不乏知名电子商务网站及提供关键服务(邮箱、社交等网站),此次曝光的漏洞非常严重,安全威胁不容小觑。
OpenSSL受影响和不受影响版本:
OpenSSL 1.0.1f(受影响)
OpenSSL 1.0.1g (不受影响)
OpenSSL 1.0.0 branch (不受影响)
OpenSSL 0.9.8 branch (不受影响)
什么是SSL?
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。
这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。
什么是“心脏出血”漏洞?
多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给攻击者。OpenSSL大约两年前就已经存在这一缺陷。
OpenSSL漏洞工作原理:
SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
该漏洞的影响大不大?
很大,因为有很多隐私信息都存储在服务器内存中。使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。
丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重:这是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。
网站怎么办?
网站管理员应尽快升级OpenSSL到1.0.1g。
网民怎么办?
1.注意观察相关事件进展,目前尚无法准确评估黑客利用OpenSSL漏洞获得了多少数据。
2.对重要服务,尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到帐户密码,登录还有另一道门槛。
3.随着事件进展,一些知名网站已修复安全漏洞,此时用户可以修改重要服务的登录密码。专家建议:一个密码的使用时间不宜过长,超过3个月就该更换了。