OpenSSL发现致命漏洞,三分之二互联网沦陷

colorful lock

由于互联网基础安全协议OpenSSL的漏洞存在时间较长,波及范围广(超过三分之二互联网站采用此协议,其中30%存在漏洞),攻击简便且不会留下痕迹,其对全球互联网尤其是网络金融和电子商务行业的冲击将难以估量。

研究者近日在互联网安全协议OpenSSL v1.0.1到1.0.1f的密码算法库中发现了一个非常严重bug(CVE-2014-0160,代号Heartbleed“心脏出血”),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。

OpenSSL是Apache和nginx网络服务器的默认安全协议,此外大量操作系统、电子邮件和即时通讯系统也采用OpenSSL加密用户数据通讯。而此次发现的bug已经存在两年之久,这意味着攻击者可以利用该bug获取大量互联网服务器与用户之间的数字证书私钥,从而获取用户账户密码等敏感数据。由于攻击者不会在服务器日志中留下痕迹,因此网站系统管理员将无法得知系统漏洞是否已经被黑客利用,也无从得知用户数据和账号是否已经被黑客扫描获取并用于未来的网络黑市交易

据Ars报道,超过三分之二的互联网服务器使用存在漏洞的OpenSSL版本来保护用户账户密码、网银账号等敏感数据。由于漏洞存在时间较长,攻击简便且不会留下痕迹,此次发现的漏洞的影响范围,以及对互联网尤其是网络金融和电子商务行业的冲击将难以估量。

据solidot报道,OpenSSL已经发布了1.0.1g修正bug,Debian发行版也在半小时修复了bug,Fedora发布了一个权宜的修正方案。 该bug是在2011年引入到OpenSSL中,使用OpenSSL 0.9.8的发行版不受影响,但Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影响。如果你运行存在该bug的系统,那么最好废除所有密钥。

值得注意的是,Vox公司的Tim Lee在博客中指出,OpenSSL的漏洞对NSA这样的情报部门来说更有价值,NSA与运营商和互联网服务商存在合作关系,可从互联网骨干网大规模解密OpenSSL加密的数据。

安全牛认为,如果此漏洞的使用者真的是NSA,那么我们甚至不能排除这是NSA人为削弱互联网安全协议,渗透开源社区,在关键加密产品和标准中植入后门的又一例证。

修复建议

  • 使用低版本SSL的网站,并尽快按如下方案修复该漏洞:
  • 升级OpenSSL 1.0.1g
  • 使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块

对于普通用户来说,有兴趣的可以到github查询你使用的网站是否存在漏洞,小编粗粗看了一下,包括新浪微博、人民网国内大多数网站都没有启用SSL,启用SSL的如淘宝、搜狗、苏宁、银联等都存在漏洞,安全牛建议近期尽量避免使用电商网银等网络支付服务,尽量抽空修改所有关键网银、网购和社交账号密码,并随时留意安全牛的最新报道。

参考阅读:web安全之殇,HTTPS无法保护隐私

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:
标签: , , ,


关于作者

隐私已经死去,软件正在吃掉世界,数据即将爆炸