OpenSSL漏洞介绍

漏洞简介：

2014年4月7日OpenSSL发布了安全公告，在OpenSSL1.0.1版本的心跳包模块存在严重漏洞（CVE-2014-0160）。攻击者可以通过构造特殊的数据包，直接远程读取存在漏洞的OpenSSL服务器内存中多达64KB的数据，极有可能导致网站用户帐号密码等敏感数据被非法获取。漏洞发现者甚至声称可以直接获取到证书私钥和重要的商业文档。

漏洞影响：

国内大量使用HTTPS协议的网站相当一部分都存在此漏洞，其中不乏知名电子商务网站及提供关键服务（邮箱、社交等网站），此次曝光的漏洞非常严重，安全威胁不容小觑。

OpenSSL受影响和不受影响版本：

OpenSSL 1.0.1f（受影响）
OpenSSL 1.0.1g （不受影响）
OpenSSL 1.0.0 branch （不受影响）
OpenSSL 0.9.8 branch （不受影响）

什么是SSL？

SSL是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时，就会在URL地址旁看到一个“锁”，表明你在该网站上的通讯信息都被加密。

这个“锁”表明，第三方无法读取你与该网站之间的任何通讯信息。在后台，通过SSL加密的数据只有接收者才能解密。很多大型网络服务都已经默认利用这项技术加密数据。如今，谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。

什么是“心脏出血”漏洞？

多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一，研究人员宣布这款软件存在严重漏洞，可能导致用户的通讯信息暴露给攻击者。OpenSSL大约两年前就已经存在这一缺陷。

OpenSSL漏洞工作原理：

SSL标准包含一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。研究人员发现，可以通过巧妙的手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。

该漏洞的影响大不大？

很大，因为有很多隐私信息都存储在服务器内存中。使用这项技术的攻击者可以通过模式匹配对信息进行分类整理，从而找出密钥、密码，以及信用卡号等个人信息。

丢失了信用卡号和密码的危害有多大，相信已经不言而喻。但密钥被盗的后果可能更加严重：这是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥，便可读取其收到的任何信息，甚至能够利用密钥假冒服务器，欺骗用户泄露密码和其他敏感信息。

网站怎么办？

网站管理员应尽快升级OpenSSL到1.0.1g。

网民怎么办？

1.注意观察相关事件进展，目前尚无法准确评估黑客利用OpenSSL漏洞获得了多少数据。
2.对重要服务，尽可能开通手机验证或动态密码，比如支付宝、邮箱等，登录重要服务，不仅仅需要验证用户名密码，最好绑定手机，加手机验证码登录。这样就算黑客拿到帐户密码，登录还有另一道门槛。
3.随着事件进展，一些知名网站已修复安全漏洞，此时用户可以修改重要服务的登录密码。专家建议：一个密码的使用时间不宜过长，超过3个月就该更换了。

OpenSSL漏洞介绍