由于互聯(lián)網(wǎng)基礎(chǔ)安全協(xié)議OpenSSL的漏洞存在時(shí)間較長(zhǎng)���,波及范圍廣(超過(guò)三分之二互聯(lián)網(wǎng)站采用此協(xié)議,其中30%存在漏洞)��,攻擊簡(jiǎn)便且不會(huì)留下痕跡���,其對(duì)全球互聯(lián)網(wǎng)尤其是網(wǎng)絡(luò)金融和電子商務(wù)行業(yè)的沖擊將難以估量��。
研究者近日在互聯(lián)網(wǎng)安全協(xié)議OpenSSL v1.0.1到1.0.1f的密碼算法庫(kù)中發(fā)現(xiàn)了一個(gè)非常嚴(yán)重bug(CVE-2014-0160�����,代號(hào)Heartbleed“心臟出血”)�����,該bug允許攻擊者讀取存在bug的系統(tǒng)的64kb處理內(nèi)存��,暴露加密流量的密鑰�����,用戶的名字和密碼,以及訪問(wèn)的內(nèi)容����。
OpenSSL是Apache和nginx網(wǎng)絡(luò)服務(wù)器的默認(rèn)安全協(xié)議�����,此外大量操作系統(tǒng)�、電子郵件和即時(shí)通訊系統(tǒng)也采用OpenSSL加密用戶數(shù)據(jù)通訊��。而此次發(fā)現(xiàn)的bug已經(jīng)存在兩年之久����,這意味著攻擊者可以利用該bug獲取大量互聯(lián)網(wǎng)服務(wù)器與用戶之間的數(shù)字證書(shū)私鑰,從而獲取用戶賬戶密碼等敏感數(shù)據(jù)��。由于攻擊者不會(huì)在服務(wù)器日志中留下痕跡��,因此網(wǎng)站系統(tǒng)管理員將無(wú)法得知系統(tǒng)漏洞是否已經(jīng)被黑客利用����,也無(wú)從得知用戶數(shù)據(jù)和賬號(hào)是否已經(jīng)被黑客掃描獲取并用于未來(lái)的網(wǎng)絡(luò)黑市交易。
據(jù)Ars報(bào)道��,超過(guò)三分之二的互聯(lián)網(wǎng)服務(wù)器使用存在漏洞的OpenSSL版本來(lái)保護(hù)用戶賬戶密碼���、網(wǎng)銀賬號(hào)等敏感數(shù)據(jù)�����。由于漏洞存在時(shí)間較長(zhǎng)�,攻擊簡(jiǎn)便且不會(huì)留下痕跡,此次發(fā)現(xiàn)的漏洞的影響范圍��,以及對(duì)互聯(lián)網(wǎng)尤其是網(wǎng)絡(luò)金融和電子商務(wù)行業(yè)的沖擊將難以估量��。
據(jù)solidot報(bào)道��,OpenSSL已經(jīng)發(fā)布了1.0.1g修正bug���,Debian發(fā)行版也在半小時(shí)修復(fù)了bug���,F(xiàn)edora發(fā)布了一個(gè)權(quán)宜的修正方案。 該bug是在2011年引入到OpenSSL中�,使用OpenSSL 0.9.8的發(fā)行版不受影響,但Debian Wheezy���、Ubuntu 12.04.4�、 Centos 6.5�、Fedora 18、SuSE 12.2�、OpenBSD 5.4���、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影響��。如果你運(yùn)行存在該bug的系統(tǒng)�,那么最好廢除所有密鑰。
值得注意的是��,Vox公司的Tim Lee在博客中指出�����,OpenSSL的漏洞對(duì)NSA這樣的情報(bào)部門(mén)來(lái)說(shuō)更有價(jià)值�����,NSA與運(yùn)營(yíng)商和互聯(lián)網(wǎng)服務(wù)商存在合作關(guān)系����,可從互聯(lián)網(wǎng)骨干網(wǎng)大規(guī)模解密OpenSSL加密的數(shù)據(jù)。
安全牛認(rèn)為�����,如果此漏洞的使用者真的是NSA���,那么我們甚至不能排除這是NSA人為削弱互聯(lián)網(wǎng)安全協(xié)議�����,滲透開(kāi)源社區(qū)��,在關(guān)鍵加密產(chǎn)品和標(biāo)準(zhǔn)中植入后門(mén)的又一例證�。
修復(fù)建議
- 使用低版本SSL的網(wǎng)站,并盡快按如下方案修復(fù)該漏洞:
- 升級(jí)OpenSSL 1.0.1g
- 使用-DOPENSSL_NO_HEARTBEATS參數(shù)重新編譯低版本的OpenSSL以禁用Heartbleed模塊
對(duì)于普通用戶來(lái)說(shuō)�����,有興趣的可以到github查詢你使用的網(wǎng)站是否存在漏洞�,小編粗粗看了一下,包括新浪微博���、人民網(wǎng)國(guó)內(nèi)大多數(shù)網(wǎng)站都沒(méi)有啟用SSL��,啟用SSL的如淘寶�、搜狗����、蘇寧、銀聯(lián)等都存在漏洞,安全牛建議近期盡量避免使用電商網(wǎng)銀等網(wǎng)絡(luò)支付服務(wù)���,盡量抽空修改所有關(guān)鍵網(wǎng)銀����、網(wǎng)購(gòu)和社交賬號(hào)密碼����,并隨時(shí)留意安全牛的最新報(bào)道�����。
參考閱讀:web安全之殤��,HTTPS無(wú)法保護(hù)隱私
