OpenSSL漏洞 9日安全协议OpenSSL爆出本年度最严重的安全漏洞“心脏出血”。利用该漏洞,黑客可以实时获取到漏洞网站网银密码,目前各大网站正在紧急处理,包括淘宝,微信在内的几乎全部网站均中招,请有网购的筒子注。

OpenSSL可能大家不太熟悉,但是如果说到https恐怕很多人都听说过。

什么是https?

HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。

要知道https可是安全性大大提高的加密连接啊,当初本人也是希望申请一个免费的秘钥让本站实现https安全认证呢,现在看来真是讽刺啊。

4月7日凌晨,国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。而让人担心的是这个漏洞已经影响两年之久。据某安全平台对国内120万家经过授权的网站扫描,其中有11440个网站主机受该漏洞影响。4月7日、4月8日期间,共计约2亿网民访问了存在OpenSSL漏洞的网站。

目前还没有具体的统计数据显示这次漏洞造成多大的经济损失,但发现该漏洞的研究人员指出,当今最热门的两大网络服务器Apachenginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。

昨天下午,国内大量网站已开始紧急修复此OpenSSL高危漏洞,但是修复此漏洞普遍需要半个小时到一个小时时间,大型网站修复时间会更长一些。

漏洞分析:

此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长达64K的数据。
“心脏流血”这个名字听起来有点夸张,但这个漏洞的威力似乎当得起它的名字。不管是从可能感染的电脑数量还是从可能被泄露的数据规模,“心脏流血”的破坏力都超过在2014年早些时候狠狠羞辱了苹果公司的“GoToFail ”漏洞。“心脏流血”漏洞可以帮助黑客获得打开服务器的密钥,监听服务器数据和流量。

raintrue建议:

OpenSSL目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号和进行在线支付。(什么是收到漏洞影响的网站呢?只要是支持https安全协议的网站均为漏洞网站,在不确定该网站是否补丁的前提下一定要提高警惕不要使用支付功能)

OpenSSL

 

小林子打字好辛苦,麻烦转载注明: 转载自林枫紫涵

本文链接地址: http://www.lfzh.org/openssl-0days.html

作者: admin