鄂州信息网
科技
当前位置:首页 > 科技

解析OpenSSL重大安全漏洞

发布时间:2019-09-13 22:09:30 编辑:笔名

解析OpenSSL重大安全漏洞

解析OpenSSL重大安全漏洞

2014年4月8日,XP宣布正式停止服务的日子,也是OpenSSL爆出大漏洞的日子。这个漏洞影响30~50%比例使用https的站,其中包括大家经常访问的:支付宝、、淘宝、银、社交、门户等知名站。只要访问https的站便有可能存在被嗅探数据的风险。

OpenSSL是什么?

OpenSSL是目前移动互联上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。它为络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

OpenSSL漏洞

OpenSSL是一种开放源码的SSL实现,用来实现络通信的高强度加密,现在被广泛地用于各种络应用程序中。OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中长大64K的数据。

存在该漏洞的版本

OpenSSL 1.0.1 through 1.0.1f(inclusive) are vulnerable

OpenSSL 1.0.1g is NOT vulnerable

OpenSSL 1.0.0 branch is NOT vulnerable

OpenSSL 0.9.8 branch is NOT vulnerable

简单的说,黑客可以对使用https(存在此漏洞)的站发起攻击,每次读取服务器内存中64K数据,不断的迭代获取,内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等。

这个漏洞影响究竟有多大?

影响很大,因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德菲尔腾(Ed Felten)表示,使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。

丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重。这是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。

一位安全行业人士在知乎上透露,他在某着名电商站上用这个漏洞尝试读取数据,在读取200次后,获取了40多个用户名,7个密码,用这些密码,他成功地登录了该站。之后又发现雅虎门户主页、公众号、页版,YY语言、淘宝、银、陌陌、社交、门户站存在此漏洞。

图为获取到了用户登录的帐号以及密码,这里的密码使用的明文传输,以至于通过这样的漏洞攻击黑客可以成功的登录了上百个账户。

用户修改密码、发送消息、登录等请求以及很多操作全部在数据包中暴露出来,这里不列举更多受影响的站了。其实这个漏洞据说早在2012年就被挖掘出来,直到昨天CVE纳入编号CVE-,8号才正式爆发。使用HTTPS的站大多是因为数据需加密防止嗅探等攻击的发生,漏洞爆发后彻底将这层大门打破,于是很多站处于被监听的状态中。

因此漏洞非用户安全所致,只要站使用了存在漏洞的OpenSSL版本,用户登录该站时就可能被黑客实时监控到登录账号和密码,此漏洞应由服务商尽快提供OpenSSL的升级。

可喜的是诸如腾讯、易、淘宝这些大的厂商对安全问题的应急相应速度很快,很多存在OpenSSL问题的站已经修复,剩下一些相信也会通过白帽子们的努力很快修复。

用户应当如何应对该问题?

对重要服务,尽可能开通验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定,加验证码登录。这样就算黑客拿到帐户密码,登录还有另一道门槛。

另外,随着事件进展,可能受累及的络服务在增加或更明确,建议用户修改重要服务的登录密码。对于密码设置的建议是,一个密码的使用时间不宜过长,超过3个月就应该换掉,并且密码设置要足够长,尽量不要多次使用同一个密码。


微信店铺怎么进去
如何做有赞微商城
开微商城要钱