今日焦点 - 生活娱乐 - IT资讯 - 名企之窗  导航:首页 >> 科技 >> OpenSSL为何影响力如此之大?

OpenSSL为何影响力如此之大?
作者:luis 来源:广州在线 更新日期:2017/9/22 阅读次数:
摘要:安全协议OpenSSL被曝重大安全漏洞,这个漏洞使攻击者能够从内存中读取多达64KB的数据。该漏洞被命名为“心脏出血”,这足以说明其影响力之大,那么OpenSSL究竟为何物?我们又该怎样防御呢?

     4月8日晚间,各大网站都在报道安全协议OpenSSL重大安全漏洞新闻。这个漏洞使攻击者能够从内存中读取多达64 KB的数据。该漏洞被命名为“心脏出血”,虽然64KB数据量并不大,但黑客可以重复利用该漏洞、多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。那么OpenSSL究竟为何物,为何它的影响力如此之大?

     OpenSSL是什么?

     OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议。

     此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后 的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存数据。

     目前各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站都在使用。据悉,该漏洞是由安全公司Codenomicon和谷歌安全工程师独立发现的。使用OpenSSL 1.0.1f的服务器将受影响,运维人员应该马上升级。此外,1.0.1以前的版本不受此影响,但是1.0.2-beta仍需修复。

     修复建议

  • 使用低版本SSL的网站,并尽快按如下方案修复该漏洞;
  • 升级OpenSSL 1.0.1g;
  • 使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块;

 

     推荐查看:

 

     截止到目前,大量网站都已修复OpenSSL高危漏洞。

相关文章: