OpenSSL究竟为何物,为何它的影响力如此之大?
4 月 8 日晚间,各大网站都在报道安全协议 OpenSSL 重大安全漏洞新闻(CVE-2014-0160,代号 Heartbleed“心脏出血”)。这个漏洞使攻击者能够从内存中读取多达 64 KB 的数据。虽然 64KB 数据量并不大,但黑客可以重复利用该漏洞、多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。包括用户的名字和密码,以及访问的内容。
由于互联网基础安全协议 OpenSSL 的漏洞存在时间较长已经存在两年之久,波及范围广(超过三分之二互联网站采用此协议,其中 30% 存在漏洞),攻击简便且不会留下痕迹,其对全球互联网尤其是网络金融和电子商务行业的冲击将难以估量。由于攻击者不会在服务器日志中留下痕迹,因此网站系 统管理员将无法得知系统漏洞是否已经被黑客利用,也无从得知用户数据和账号是否已经被黑客扫描获取并用于未来的网络黑市交易。
据 solidot 报道,OpenSSL 已经发布了1. 0.1g 修正 bug,Debian 发行版也在半小时修复了 bug,Fedora 发布了一个权宜的修正方案。 该 bug 是在 2011 年引入到 OpenSSL 中,使用 OpenSSL 0.9.8 的发行版不受影响,但 Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4 和 NetBSD 5.0.2 之后的版本都受到影响。如果你运行存在该 bug 的系统,那么最好废除所有密钥。
值得注意的是,Vox 公司的 Tim Lee 在博客中指出,OpenSSL 的漏洞对 NSA 这样的情报部门来说更有价值,NSA 与运营商和互联网服务商存在合作关系,可从互联网骨干网大规模解密 OpenSSL 加密的数据。
安全牛认为,如果此漏洞的使用者真的是 NSA,那么我们甚至不能排除这是 NSA 人为削弱互联网安全协议,甚至在关键加密产品和标准中植入后门的又一例证。
那么 OpenSSL 究竟为何物,为何它的影响力如此之大?
OpenSSL 是什么?
OpenSSL 是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议。
此次漏洞的成因是 OpenSSL Heartbleed 模块存在一个 BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致 memcpy 把 SSLv3 记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的 OpenSSL 服务器内存数据。
目前各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站都在使用。据悉,该漏洞是由安全公司 Codenomicon 和谷歌安全工程师独立发现的。使用 OpenSSL 1.0.1f 的服务器将受影响,运维人员应该马上升级。此外,1.0.1 以前的版本不受此影响,但是 1.0.2-beta 仍需修复。
修复建议
- 使用低版本 SSL 的网站,并尽快按如下方案修复该漏洞;
- 升级 OpenSSL 1.0.1g;
- 使用-DOPENSSL_NO_HEARTBEATS 参数重新编译低版本的 OpenSSL 以禁用 Heartbleed 模块;
对于普通用户来说,有兴趣的可以到 github 查询你使用的网站是否存在漏洞,小编粗粗看了一下,包括新浪微博、人民网国内大多数网站都没有启用 SSL,启用 SSL 的如搜狗、苏宁都存在漏洞,安全牛建议近期尽量避免使用网银等网络支付服务,尽量抽空修改所有关键网银、网购和社交账号密码,并随时留意安全牛的最新报 道。
推荐查看:
- OpenSSL 官网:https://www.openssl.org/
- 关于 Open SSL 漏洞分析:http://drops.wooyun.org/papers/1381
- 解析 Open SSL:http://heartbleed.com/
截止到目前,大量网站都已修复 OpenSSL 高危漏洞。
注:
用户可使用下面这个网址来检查自己的网站是否存在该漏洞:http://possible.lv/tools/hb/?domain=xxx.xxx.com