OpenSSL究竟為何物，為何它的影響力如此之大？

        4 月 8 日晚間，各大網站都在報道安全協議 OpenSSL 重大安全漏洞新聞（CVE-2014-0160，代號 Heartbleed“心臟出血”）。這個漏洞使攻擊者能夠從內存中讀取多達 64 KB 的數據。雖然 64KB 數據量并不大，但黑客可以重復利用該漏洞、多次竊取數據，并可能因此獲得用戶的加密密鑰，解密敏感數據。包括用戶的名字和密碼，以及訪問的內容。

        由于互聯網基礎安全協議 OpenSSL 的漏洞存在時間較長已經存在兩年之久，波及范圍廣（超過三分之二互聯網站采用此協議，其中 30% 存在漏洞），攻擊簡便且不會留下痕跡，其對全球互聯網尤其是網絡金融和電子商務行業的沖擊將難以估量。由于攻擊者不會在服務器日志中留下痕跡，因此網站系 統管理員將無法得知系統漏洞是否已經被黑客利用，也無從得知用戶數據和賬號是否已經被黑客掃描獲取并用于未來的網絡黑市交易。

        據 solidot 報道，OpenSSL 已經發布了1. 0.1g 修正 bug，Debian 發行版也在半小時修復了 bug，Fedora 發布了一個權宜的修正方案。 該 bug 是在 2011 年引入到 OpenSSL 中，使用 OpenSSL 0.9.8 的發行版不受影響，但 Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4 和 NetBSD 5.0.2 之后的版本都受到影響。如果你運行存在該 bug 的系統，那么最好廢除所有密鑰。

        值得注意的是，Vox 公司的 Tim Lee 在博客中指出，OpenSSL 的漏洞對 NSA 這樣的情報部門來說更有價值，NSA 與運營商和互聯網服務商存在合作關系，可從互聯網骨干網大規模解密 OpenSSL 加密的數據。

        安全牛認為，如果此漏洞的使用者真的是 NSA，那么我們甚至不能排除這是 NSA 人為削弱互聯網安全協議，甚至在關鍵加密產品和標準中植入后門的又一例證。

        那么 OpenSSL 究竟為何物，為何它的影響力如此之大？

        OpenSSL 是什么？

        OpenSSL 是為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及 SSL 協議。

        此次漏洞的成因是 OpenSSL Heartbleed 模塊存在一個 BUG，當攻擊者構造一個特殊的數據包，滿足用戶心跳包中無法提供足夠多的數據會導致 memcpy 把 SSLv3 記錄之后的數據直接輸出，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的 OpenSSL 服務器內存數據。

        目前各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站都在使用。據悉，該漏洞是由安全公司 Codenomicon 和谷歌安全工程師獨立發現的。使用 OpenSSL 1.0.1f 的服務器將受影響，運維人員應該馬上升級。此外，1.0.1 以前的版本不受此影響，但是 1.0.2-beta 仍需修復。

        修復建議

• 使用低版本 SSL 的網站，并盡快按如下方案修復該漏洞；
• 升級 OpenSSL 1.0.1g；
• 使用-DOPENSSL_NO_HEARTBEATS 參數重新編譯低版本的 OpenSSL 以禁用 Heartbleed 模塊；

        對于普通用戶來說，有興趣的可以到 github 查詢你使用的網站是否存在漏洞，小編粗粗看了一下，包括新浪微博、人民網國內大多數網站都沒有啟用 SSL，啟用 SSL 的如搜狗、蘇寧都存在漏洞，安全牛建議近期盡量避免使用網銀等網絡支付服務，盡量抽空修改所有關鍵網銀、網購和社交賬號密碼，并隨時留意安全牛的最新報 道。

        推薦查看：

• OpenSSL 官網：https://www.openssl.org/
• 關于 Open SSL 漏洞分析：http://drops.wooyun.org/papers/1381
• 解析 Open SSL：http://heartbleed.com/

        截止到目前，大量網站都已修復 OpenSSL 高危漏洞。

        注：

        用戶可使用下面這個網址來檢查自己的網站是否存在該漏洞：http://possible.lv/tools/hb/?domain=xxx.xxx.com