OpenSSL 發現致命漏洞,三分之二互聯網淪陷
由于互聯網基礎安全協議OpenSSL的漏洞存在時間較長,波及范圍廣(超過三分之二互聯網站受到影響),攻擊簡便且不會留下痕跡,其對全球互聯網尤其是網絡金融和電子商務行業的沖擊將難以估量。
研究者近日在互聯網安全協議OpenSSL v1.0.1到1.0.1f的密碼算法庫中發現了一個非常嚴重bug(CVE-2014-0160),該bug允許攻擊者讀取存在bug的系統的64kb處理內存,暴露加密流量的密鑰,用戶的名字和密碼,以及訪問的內容。
OpenSSL是Apache和nginx網絡服務器的默認安全協議,此外大量操作系統、電子郵件和即時通訊系統也采用OpenSSL加密用戶數據 通訊。而此次發現的bug已經存在兩年之久,這意味著攻擊者可以利用該bug獲取大量互聯網服務器與用戶之間的數字證書私鑰,從而獲取用戶賬戶密碼等敏感 數據。由于攻擊者不會在服務器日志中留下痕跡,因此網站系統管理員將無法得知系統漏洞是否已經被黑客利用,也無從得知用戶數據和賬號是否已經被黑客掃描獲 取并用于未來的網絡黑市交易。
據Ars報道,超過三分之二的互聯網服務器使用存在漏洞的OpenSSL版本來保護用戶賬戶密碼、網銀賬號等敏感數據。由于漏洞存在時間較長,攻擊簡便且不會留下痕跡,此次發現的漏洞的影響范圍,以及對互聯網尤其是網絡金融和電子商務行業的沖擊將難以估量。
據solidot報道,OpenSSL已經發布了1.0.1g修正bug,Debian發行版也在半小時修復了bug,Fedora發布了一個權宜的修正方案。 該bug是在2011年引入到OpenSSL中,使用OpenSSL 0.9.8的發行版不受影響,但Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影響。如果你運行存在該bug的系統,那么最好廢除所有密鑰。
修復建議
-
使用低版本SSL的網站,并盡快按如下方案修復該漏洞:
</li> -
升級OpenSSL 1.0.1g
</li> -
使用-DOPENSSL_NO_HEARTBEATS參數重新編譯低版本的OpenSSL以禁用Heartbleed模塊
</li> </ul>對于普通用戶來說,安全牛建議近期盡量避免使用網銀等網絡支付服務,盡量抽空修改所有關鍵網銀、網購和社交賬號密碼,并隨時留意安全牛的最新報道。
來自 IT經理網本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!