4 月 8 日晚间,各大网站都在报道安全协议 OpenSSL 重大安全漏洞新闻。这个漏洞使攻击者能够从内存中读取多达 64 KB 的数据。该漏洞被命名为“心脏出血”,虽然 64KB 数据量并不大,但黑客可以重复利用该漏洞、多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。
那么 OpenSSL 究竟为何物,为何它的影响力如此之大?
OpenSSL 是什么?
OpenSSL 是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议。
此次漏洞的成因是 OpenSSL Heartbleed 模块存在一个 BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致 memcpy 把 SSLv3 记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的 OpenSSL 服务器内存数据。
目前各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站都在使用。据悉,该漏洞是由安全公司 Codenomicon 和谷歌安全工程师独立发现的。使用 OpenSSL 1.0.1f 的服务器将受影响,运维人员应该马上升级。此外,1.0.1 以前的版本不受此影响,但是 1.0.2-beta 仍需修复。
修复建议
推荐查看:
截止到目前,大量网站都已修复 OpenSSL 高危漏洞。
相关文章