欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

openssl心脏出血漏洞来袭 openssl心脏出血漏洞防治方法

程序员文章站 2022-07-10 10:17:02
openssl心脏出血漏洞来袭怎么办?下面就和小编一起来看看openssl心脏出血漏洞防治方法吧... 14-04-09...

  小编带来了openssl安全漏洞介绍,想知道openssl心脏出血漏洞防治方法是什么吗?近日,openssl心脏出血漏洞被曝光,该漏洞影响范围甚广,大家可以通过下文了解详细信息。
 

openssl心脏出血漏洞来袭 openssl心脏出血漏洞防治方法
 

  --什么是ssl?

  ssl是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问gmail.com等安全网站时,就会在url地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。
 

  这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过ssl加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、facebook帖子、信用卡账号或其他隐私信息的具体内容。
 

  ssl最早在1994年由网景推出,1990年代以来已经被所有主流浏览器采纳。最近几年,很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和facebook都在使用ssl默认对其网站和网络服务进行加密。
 

  --什么是“心脏出血”漏洞?

  多数ssl加密的网站都使用名为openssl的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给监听者。openssl大约两年前就已经存在这一缺陷。
 

  工作原理:ssl标准包含一个心跳选项,允许ssl连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
 

  --该漏洞的影响大不大?

  很大,因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德·菲尔腾(ed felten)表示,使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。
 

  丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。
 

  --谁发现的这个问题?

  该漏洞是由codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低,研究人员已经与openssl团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。
 

  --谁能利用“心脏流血”漏洞?

  “对于了解这项漏洞的人,要对其加以利用并不困难。”菲尔腾说。利用这项漏洞的软件在网上有很多,虽然这些软件并不像ipad应用那么容易使用,但任何拥有基本编程技能的人都能学会它的使用方法。
 

  当然,这项漏洞对情报机构的价值或许最大,他们拥有足够的基础设施来对用户流量展开大规模拦截。我们知道,美国国家安全局(以下简称“nsa”)已经与美国电信运营商签订了秘密协议,可以进入到互联网的骨干网中。用户或许认为,gmail和facebook等网站上的ssl加密技术可以保护他们不受监听,但nsa 却可以借助“心脏流血”漏洞获取解密通讯信息的私钥。
 

  虽然现在还不能确定,但如果nsa在“心脏流血”漏洞公之于众前就已经发现这一漏洞,也并不出人意料。openssl是当今应用最广泛的加密软件之一,所以可以肯定的是,nsa的安全专家已经非常细致地研究过它的源代码。
 

  --有多少网站受到影响?

  目前还没有具体的统计数据,但发现该漏洞的研究人员指出,当今最热门的两大网络服务器apache和nginx都使用openssl。总体来看,这两种服务器约占全球网站总数的三分之二。ssl还被用在其他互联网软件中,比如桌面电子邮件客户端和聊天软件。
 

  发现该漏洞的研究人员几天前就已经通知openssl团队和重要的利益相关者。这让openssl得以在漏洞公布当天就发布了修复版本。为了解决该问题,各大网站需要尽快安装最新版openssl。
 

  雅虎发言人表示:“我们的团队已经在雅虎的主要资产中(包括雅虎主页、雅虎搜索、雅虎电邮、雅虎财经、雅虎体育、雅虎美食、雅虎科技、flickr和tumblr)成功部署了适当的修复措施,我们目前正在努力为旗下的其他网站部署修复措施。”
 

  谷歌表示:“我们已经评估了ssl漏洞,并且给谷歌的关键服务打上了补丁。”facebook称,在该漏洞公开时,该公司已经解决了这一问题。
 

  微软发言人也表示:“我们正在关注openssl问题的报道。如果确实对我们的设备和服务有影响,我们会采取必要措施保护用户。”
 

  --用户应当如何应对该问题?

  不幸的是,如果访问了受影响的网站,用户无法采取任何自保措施。受影响的网站的管理员需要升级软件,才能为用户提供适当的保护。
 

  不过,一旦受影响的网站修复了这一问题,用户便可以通过修改密码来保护自己。攻击者或许已经拦截了用户的密码,但用户无法知道自己的密码是否已被他人窃取。
 

  为帮助用户避免相应风险,360网站卫士推出openssl漏洞在线检查工具(http://wangzhan.360.cn/heartbleed),输入网址就能够检测网站是否存在该漏洞。
 

  以上就是关于openssl安全漏洞介绍的去全部内容哦~