解析OpenSSL重大安全漏洞

news/2025/1/7 19:28:03

  2014年4月8日,XP宣布正式停止服务的日子,也是OpenSSL爆出大漏洞的日子。这个漏洞影响30~50%比例使用https的网站,其中包括大家经常访问的:支付宝、微信、淘宝、网银、社交、门户等知名网站。只要访问https的网站便有可能存在被嗅探数据的风险。

  OpenSSL是什么?

  OpenSSL是目前移动互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。它为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

  OpenSSL漏洞

  OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中长大64K的数据。

  存在该漏洞的版本

  OpenSSL 1.0.1 through 1.0.1f(inclusive) are vulnerable

  OpenSSL 1.0.1g is NOT vulnerable

  OpenSSL 1.0.0 branch is NOT vulnerable

  OpenSSL 0.9.8 branch is NOT vulnerable

  简单的说,黑客可以对使用https(存在此漏洞)的网站发起攻击,每次读取服务器内存中64K数据,不断的迭代获取,内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等。

  这个漏洞影响究竟有多大?

  影响很大,因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德•菲尔腾(Ed Felten)表示,使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。

  丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重。这是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。

  一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获取了40多个用户名,7个密码,用这些密码,他成功地登录了该网站。之后又发现雅虎门户主页、微信公众号、微信网页版,YY语言、淘宝、网银、陌陌、社交、门户网站存在此漏洞。

  图为获取到了用户登录的帐号以及密码,这里的密码使用的明文传输,以至于通过这样的漏洞攻击黑客可以成功的登录了上百个账户。

  用户修改密码、发送消息、登录等请求以及很多操作全部在数据包中暴露出来,这里不列举更多受影响的网站了。其实这个漏洞据说早在2012年就被挖掘出来,直到昨天CVE纳入编号CVE-2014-0160,8号才正式爆发。使用HTTPS的网站大多是因为数据需加密防止嗅探等攻击的发生,漏洞爆发后彻底将这层大门打破,于是很多网站处于被监听的状态中。

  因此漏洞非用户安全所致,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码,此漏洞应由服务商尽快提供OpenSSL的升级。

  可喜的是诸如腾讯、网易、淘宝这些大的厂商对安全问题的应急相应速度很快,很多存在OpenSSL问题的网站已经修复,剩下一些相信也会通过白帽子们的努力很快修复。

  用户应当如何应对该问题?

  对重要服务,尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到帐户密码,登录还有另一道门槛。

  另外,随着事件进展,可能受累及的网络服务在增加或更明确,建议用户修改重要服务的登录密码。对于密码设置的建议是,一个密码的使用时间不宜过长,超过3个月就应该换掉,并且密码设置要足够长,尽量不要多次使用同一个密码。

 

转自:http://news.sina.com.cn/c/2014-04-28/131730025436.shtml

感谢分享。

 


http://www.niftyadmin.cn/n/3653124.html

相关文章

一个成功的RIA技术需要满足的条件

不要将自己完全局限在现有技术的能力范围内,来跟我一起预测一下未来技术的发展趋势,看看一种理想的RIA技术应该满足哪些条件。我先来开个头。1. 与服务器的交互方式必需首先支持异步的交互。异步的交互才不会打断用户的操作。当然也可以同时支持同步的交…

Openssl AES

OpenSSL提供了AES加解密算法的API const char *AES_options(void); AES算法状态,是全部支持或者是部分支持。 返回值:“aes(full)” 或者"aes(partial)" int AES_set_encrypt_key(const unsigned char *userKey, const int bits,AES_KEY *key)…

给Ajax技术初学者的一些建议

Yu Sueng你好:我推荐你先看一下《Ajax实战》,然后再看看《征服Ajax——Dojo、Prototype、script.aculo.us框架解析与实例》。这两本书的内容我感觉都不错。Ajax的核心内容是XMLHttpRequest对象,只要掌握了这个对象的使用方法,就可…

Redis介绍及常用命令

一 Redis介绍 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。 Redis能运行在大多数POSIX(Linux, *BSD, OS X 和Solaris等)系统…

如果你不肯告诉我你的架构所做的假设,我就认为你是在有意行骗

Fielding先生在其博士论文中,明确地给出了REST架构风格所基于的一些基本的假设。事实上,在任何一种架构风格中都存在着一些基本的假设,当然,作为架构风格的实例的某种特定的架构中也包含了这些假设。Fielding先生本人并不认为REST…

REST架构风格的性能为何比其他的架构风格更好

今天与一起翻译Fielding论文的朋友杨光讨论技术问题,杨光认为因为REST是基于文本来进行通信,所以其性能肯定不如基于二进制格式的通信协议好。因为这是一个对于REST的明显的误解,所以我觉得有必要专门在这里澄清一下。以下是我们的讨论内容&a…

Fielding的论文已经翻译完成

Fielding关于REST的经典论文我们已经翻译完成,已经发给国内的一些专家做review。我在两周后综合各位专家的review意见再做一次修订,然后就发给Fielding先生来发布。这篇论文绝对是所有做Web开发的人的必读,大家期待吧。

想当然和偏执狂都要不得!握其法而又能知其度,善莫大焉!

“劫后余生” 的感叹,及时写下以作日后之鉴!--------------------------------------------想当然是什么呢?是没有准备充分,尚未弄清楚事情的来龙去脉凭主管臆断,一言以蔽之,那是YY !偏执狂是什…