摘要:安全协议OpenSSL被曝重大安全漏洞,这个漏洞使攻击者能够从内存中读取多达64KB的数据。该漏洞被命名为“心脏出血”,这足以说明其影响力之大,那么OpenSSL究竟为何物?我们又该怎样防御呢?
4月8日晚间,各大网站都在报道安全协议OpenSSL重大安全漏洞新闻。这个漏洞使攻击者能够从内存中读取多达64 KB的数据。该漏洞被命名为“心脏出血”,虽然64KB数据量并不大,但黑客可以重复利用该漏洞、多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。那么OpenSSL究竟为何物,为何它的影响力如此之大?
OpenSSL是什么?
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议。
此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后 的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存数据。
目前各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站都在使用。据悉,该漏洞是由安全公司Codenomicon和谷歌安全工程师独立发现的。使用OpenSSL 1.0.1f的服务器将受影响,运维人员应该马上升级。此外,1.0.1以前的版本不受此影响,但是1.0.2-beta仍需修复。
修复建议
- 使用低版本SSL的网站,并尽快按如下方案修复该漏洞;
- 升级OpenSSL 1.0.1g;
- 使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块;
推荐查看:
截止到目前,大量网站都已修复OpenSSL高危漏洞。