鲸犀峰会
您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
业界专题 正文
发私信给老缅
发送

0

原来地壳也会塌 OpenSSL“心脏出血”漏洞

本文作者:老缅 2014-04-09 12:21
导语:估计从昨天到今天各大网站的运维人员有得忙了。昨天OpenSSL爆出严重漏洞,据称,瞬间引爆了网络,引起各路人马狂欢。由于这次漏洞影响之严重,漏洞名称被成为心脏出血(Heartbleed )

估计从昨天到今天各大网站的运维人员有得忙了。昨天OpenSSL爆出严重漏洞,据称,瞬间引爆了网络,引起各路人马狂欢。由于这次漏洞影响之严重,漏洞名称被成为心脏出血(Heartbleed )。

OpenSSL是什么东西呢?OpenSSL在Web容器如Apache/Nginx中使用,为网络通信提供安全及数据完整性的一种安全协议,Apache使用它加密HTTPS,OpenSSH使用它加密SSH。也就是说OpenSSL本身就是为了安全而部署的。因此在国内基本上所有的大型网站尤其是一些电商、支付相关的网站基本上都有使用OpenSSL进行传输加密。

那其实这个漏洞是怎么回事呢?据国内知名的安全厂商安天实验室发布的漏洞报告,OpenSSL在4月7日发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。

所以,由于OpenSSL在国内网站的普及度,这次漏洞公布引发严重影响。除了网络安全和运维人员紧急升级OpenSSL,修复漏洞,网络上也很快出现了许多针对这个漏洞的验证代码、脚本。安天实验室也进行了一些测试,并且针对这个漏洞获取到测试网站的泄露信息。

 

针对这个漏洞,笔者也简短采访了安天实验室的安全专家Billy。首先,OpenSSL怎么会突然爆发如此严重的漏洞呢?

Billy表示,其实这个漏洞不是新漏洞,而是存在并经历了一段比较长的时间。因此漏洞爆发之后其实涉及到OpenSSL的几个版本。

一般厂商发现漏洞之后的常规做法是先发布修复版本,然后快速通知其使用的客户或网站进行升级修复,最后再向公众进行公布。但这次OpenSSL在认识到漏洞,发布修复版本的同时就已经向公众公布了漏洞的存在。当然这一部分原因可能是因为OpenSSL的使用实在太广泛。在OpenSSL公布了漏洞之后,大量的网站在升级新版之前存在一定的时间差。就是这段时间让整个网络都沸腾了。

OpenSSL的此次漏洞Heartbleed 有多大的影响呢?

Billy说,OpenSSL是主要针对443端口的SSL协议。由于SSL协议是网络加密登陆认证、网络交易等的主流安全协议,而OpenSSL又是主流的SSL搭建平台。这个漏洞影响深远,因为OpenSSL在网络通讯中属于低层基础建筑,更重要的是其自身是保证安全通讯的。一个保证安全的协议居然爆出有如此重要的漏洞,对普通人而言对网络的安全性信心打击巨大。

笔者的一个安全专家天放给出一个形象的比喻,以前房子倒了,大家都知道是豆腐渣工程;这个漏洞让我们知道,地壳也是会踏的。

漏洞爆发后,由于OpenSSL使用广泛,这个漏洞在乌云成为白帽子们的刷分利器。

 图片来自知乎

由于其使用广泛,包括国内许多大型网站,甚至包括如某宝、某付宝这样的电商网站或支付工具,这次漏洞也对人们在网络进行购买或支付的信心造成一定的打击。

那这样的漏洞网站方面怎么预防呢?

Billy表示,由于这次漏洞是OpenSSL方面的漏洞,与网站方面的安全工作没有关系,这样的漏洞很难避免。只能说需要运维人员时刻关注一些安全厂商、黑客网站提交的漏洞,做到可以快速反应。时刻关注安全厂商网站,关注安全厂商提供的报告进行快速修复。

如果有足够的技术实力,倒是可以自己开发自用的安全验证协议。Billy说,像Google这样的国外厂商没有受到这次漏洞的影响,因为他们的安全传输验证协议都是自己开发的。当然这需要很强的技术实力。

雷锋网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

文章点评:

表情

编辑

#我只是比你们更能扯。#
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说