OpenSSL “Heartbleed” 漏洞意味着什么?要如何应对?

摘要: SSL可能是大家接触比较多的安全协议之一,看到某个网站用了https://开头,就是采用了SSL安全协议。而OpenSSL,则是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码

SSL可能是大家接触比较多的安全协议之一,看到某个网站用了https://开头,就是采用了SSL安全协议。而OpenSSL,则是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

换句话讲,OpenSSL其实就是互联网上销量最大的锁。而昨天,这把锁出现了问题。OpenSSL曝出重大安全漏洞——“Heartbleed Bug”。Google和网络安全公司Codenomicon的研究人员发现,OpenSSL Heartbleed模块存在一个BUG:

简单的说,黑客可以对使用https(存在此漏洞)的网站发起攻击,每次读取服务器内存中64K数据,不断的反复获取,内存中可能会含有用户http原始请求、用户cookie甚至明文帐号密码等。大家经常访问的支付宝、微信、淘宝等网站也存在这个漏洞。而更有网友测试了世界最流行的1000家网站,结果30%~40%的都有问题。

除此之外,这个漏洞受到这么多人重视还有别的原因:

这个漏洞已长时间存在,只是在昨天才被曝出。所以很难估计到底有多少网站,多少用户的资料被窃取。 这个漏洞很容易被黑客利用。 不留痕迹。这可能是最关键的问题,网站无法知道是谁窃取了用户信息,很难追究法律责任。

这一漏洞的官方名称为CVE-2014-0160。该漏洞影响了OpenSSL 1.0.1版至1.0.1f版。而1.0.1之前更老的版本并没有受到影响。OpenSSL已经发布了1.0.1g版本,以修复这一问题,但网站对这一软件的升级还需要一段时间。不过,如果网站配置了一项名为“perfect forward secrecy”的功能,那么这一漏洞的影响将被大幅减小。该功能会改变安全密钥,因此即使某一特定密钥被获得,攻击者也无法解密以往和未来的加密数据。

如何应对该漏洞?

个人用户防御建议:

各个网站修复这个漏洞都可能需要1-3天的时间,有些反应较为迅速的网站如淘宝,微信等可能修复的更快。只要等有漏洞的网站修复完成就能登陆了。当然,若还是不放心,你还可以点击这里或者点击这里查看自己要登陆的网站是否安全。对已经不小心登陆过这些网站的用户,可以修改一下密码。

除此之外,密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行报告中的陌生扣款。

企业防御建议: 升级到最新版本OpenSSL 1.0.1g。无法立即升级的用户可以以-DOPENSSL_NO_HEARTBEATS开关重新编译OpenSSL。而1.0.2-beta版本的漏洞将在beta2版本修复。当然,升级后别忘记提醒用户更改密码、提醒云服务使用者更新SSL密钥重复证书。

时间: 2024-09-21 13:46:35

OpenSSL “Heartbleed” 漏洞意味着什么?要如何应对?的相关文章

OpenSSL“Heartbleed”漏洞消息发布前的惊魂72小时

摘要: 从芬兰到硅谷,有一支小规模的漏洞猎手团队发现了互联历史上最为严重的网络安全漏洞,并为之积极准备着. 最近Heartbleed这个词可谓是家喻户晓,这个安全漏洞引起了几乎每个网民 从芬兰到硅谷,有一支小规模的漏洞猎手团队发现了互联历史上最为严重的网络安全漏洞,并为之积极准备着. 最近Heartbleed这个词可谓是家喻户晓,这个安全漏洞引起了几乎每个网民的担心.但其实David Chartier 早在一周前,当所有人还蒙在鼓里的时候,就已经知道它的存在了. 周五一大早,Codenomico

Centos 6.5下yum升级、修复OpenSSL heartbleed漏洞

这两天OpenSSL Heart Bleed 漏洞搞得人心惶惶,请看这篇文章:分析.诊断OpenSSL Heartbleed Bug,目前可知的能够利用此漏洞的版本是: OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable OpenSSL 1.0.1g is NOT vulnerable OpenSSL 1.0.0 branch is NOT vulnerable OpenSSL 0.9.8 branch is NOT vulnerabl

Heartbleed 漏洞补丁引发 SSL 链接 bug

Shawn the R0ck 写道 "OpenSuSE社区收到关 于最近因为OpenSSL heartbleed漏洞的修复关于padding扩展代码的改动导致IronPort SMTP服务器出现异常阻断的bug报告.OpenSSL 1.0.1g不仅仅是修复了heartbleed漏洞,而且也增加了一些padding扩展的改动: define TLSEXT_TYPE_padding 21 这直接导致SSL链接出错(至少在Ironports的设备上): SSL23_GET_SERVER_HELLO:t

OpenSSL曝漏洞 数据难被大规模窃取

摘要: 一个国外黑客的爆料,严重冲击了Windows XP停止官方支持消息的关注度.4月7日,有国外黑客公布了被称为heartbleed的OpenSSL漏洞.这一漏洞存在于OpenSSL v1.0.1--1.0.1f版本中,如果用户使用 一个国外黑客的爆料,严重冲击了Windows XP停止官方支持消息的关注度.4月7日,有国外黑客公布了被称为heartbleed的OpenSSL漏洞.这一漏洞存在于OpenSSL v1.0.1--1.0.1f版本中,如果用户使用https协议访问使用了上述版本的

普通用户如何应对OpenSSL的Heartbleed漏洞

普通用户如何应对 Heartbleed漏洞4月9日,一个代号" Heartbleed"(意为"心脏出血")的重大安全漏洞日前被 曝光,它能让攻击者从服务器内存中读取包括用户名.密码和信用卡号等隐私信息在内的数据,目前已经波及大量互联网公司. 那么普通用户如何保护自己免受攻击呢?科技博客网站CNET咨询网络安全专家之后,给出了以下操作建议:1. 不要在受影响的网站上登录帐号--除非你确信该公司已经修补了这一漏洞.如果该公司没有向你通告相关进展,你可以询问他们的客服团队

openssl 使用-Openssl心血漏洞扫描工具CrowdStrike Heartbleed Scanner的说明

问题描述 Openssl心血漏洞扫描工具CrowdStrike Heartbleed Scanner的说明 Openssl心血漏洞扫描工具CrowdStrike Heartbleed Scanner的说明 解决方案 主要就是检测返回的ssl handshake hello包等,然后构建发送特意设定好的数据

openssl升级防止 Heartbleed 漏洞问题

贴下知乎的回答: 另外有一个测试网站是否受到影响的服务:Test your server for Heartbleed (CVE-2014-0160) (现在长期503) 根 据页面上的介绍,这个 OpenSSL 的实现漏洞可以在握手阶段获取到主机上的敏感内存数据,甚至包括 SSL 证书私钥!漏洞2012年出现,昨天(2014年4月7日)才刚刚被修复.想问一下知乎上的信息安全专业人士们,这个漏洞的可利用性和影响范围究竟有多 大?如果是,那么这个曾今的 0day 是否被广泛利用? 很严重的漏洞,涉

HeartBleed 漏洞会暴露 OpenVPN 私钥

HeartBleed心脏出血漏洞的影响范围还在继续扩大,上周人们以为Heartbleed仅仅是网站web服务器的噩梦,但是随着时间的推移,Heartbleed对企业内网和数据安全的威胁才真正露出水面,造成的损失比web服务更大,而修复更加困难和漫长. 据Ars报道,近日研究者已经完成验证攻击,并多次成功从运行OpenVPN的VPN服务里提取到加密私钥,这意味着Heartbleed漏洞会影响运行OpenVPN的VPN供应商. OpenVPN是一种开源的VPN软件,其默认加密库就是OpenSSL.负

新数据证实黑客能通过Heartbleed漏洞窃取私钥

网络服务公司Cloudflare周六报道称,与之前的怀疑相反,黑客可以通过被称为"Heartbleed"的重大漏洞从有漏洞的网站中获取私钥. 就在昨天,Cloudflare发布了初步的调查结果称,通过Heartbleed获得重要的密钥以解密套接层即使可能也十分困难.为了肯定这一结论,Cloudflare发起了"Heartbleed挑战赛"以查看其他人利用漏洞可能导致的后果.公司搭建了一个nginx服务器,服务器上运行着包含Heartbleed漏洞版本的OpenSSL