由于互联网基础安全协议OpenSSL的漏洞存在时间较长,波及范围广(超过三分之二互联网站受到影响),攻击简便且不会留下痕迹,其对全球互联网尤其是网络金融和电子商务行业的冲击将难以估量。研究者近日在互联网安全协议OpenSSL v1.0.1到1.0.1f的密码算法库中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。OpenSSL是Apache和nginx网络服务器的默认安全协议,此外大量操作系统、电子邮件和即时通讯系统也采用OpenSSL加密用户数据 通讯。而此次发现的bug已经存在两年之久,这意味着攻击者可以利用该bug获取大量互联网服务器与用户之间的数字证书私钥,从而获取用户账户密码等敏感数据。由于攻击者不会在服务器日志中留下痕迹,因此网站系统管理员将无法得知系统漏洞是否已经被黑客利用,也无从得知用户数据和账号是否已经被黑客扫描获 取并用于未来的网络黑市交易。据Ars报道,超过三分之二的互联网服务器使用存在漏洞的OpenSSL版本来保护用户账户密码、网银账号等敏感数据。由于漏洞存在时间较长,攻击简便且不会留下痕迹,此次发现的漏洞的影响范围,以及对互联网尤其是网络金融和电子商务行业的冲击将难以估量。据solidot报道,OpenSSL已经发布了1.0.1g修正bug,Debian发行版也在半小时修复了bug,Fedora发布了一个权宜的修正方案。 该bug是在2011年引入到OpenSSL中,使用OpenSSL 0.9.8的发行版不受影响,但Debian Wheezy、Ubuntu 12.04.4、 CentOS 6.5、Fedora 18、SUSE 12.2、OpenBSD 5.4、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影响。如果你运行存在该bug的系统,那么最好废除所有密钥。
修复建议 - 使用低版本SSL的网站,并尽快按如下方案修复该漏洞:
- 升级OpenSSL 1.0.1g
- 使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块
对于普通用户来说,安全牛建议近期尽量避免使用网银等网络支付服务,尽量抽空修改所有关键网银、网购和社交账号密码,并随时留意安全牛的最新报道。
OpenSSL 的详细介绍:请点这里
OpenSSL 的下载地址:请点这里相关阅读:OpenSSL TLS心跳读远程信息泄露漏洞 (CVE-2014-0160) http://www.linuxidc.com/Linux/2014-04/99741.htmOpenSSL严重bug允许攻击者读取64k内存,Debian半小时修复 http://www.linuxidc.com/Linux/2014-04/99737.htmOpenSSL “heartbleed” 的安全漏洞 http://www.linuxidc.com/Linux/2014-04/99706.htm通过OpenSSL提供FTP+SSL/TLS认证功能,并实现安全数据传输 http://www.linuxidc.com/Linux/2013-05/84986.htmOpenSSL 曝出重大缺陷 黑客可多次窃取数据PHPFox访问控制安全限制绕过漏洞(CVE-2013-7195)相关资讯 OpenSSL漏洞
- OpenSSL doapr_outch函数拒绝服务 (今 21:21)
- OpenSSL crypto/x509/x509_vfy.c拒 (09月27日)
- OpenSSL dtls1_preprocess_ (09月25日)
| - OpenSSL statem/statem.c拒绝服务 (09月27日)
- OpenSSL 证书消息越界读取漏洞(CVE (09月25日)
- OpenSSL DTLS拒绝服务漏洞(CVE- (09月25日)
|
本文评论 查看全部评论 (0)
易网时代-编程资源站