OpenSSL 被發現重大漏洞 Heartbleed

XXXXXX 被發現重大漏洞這些新聞,大家都聽得太多了吧?但這次的漏洞卻非比尋常,原因是這次 OpenSSL 被稱為「心臟流血」的漏洞 Heartbleed,有能導致全球超過一半的網站,有大量用戶名稱和密碼被洩露的危險。幸好已經有妥善對策了,只要更新就可以了。20140410openssl

這一漏洞的正式名稱為 CVE-2014-0160。漏洞影響了 OpenSSL 的 1.0.1 和 1.0.2 測試版。OpenSSL 已經發佈了 1.0.1g 版本,以修復這一問題,但要全球網站對這一軟體都進行升級,還需要一段時間。想知道自己的網站是否存在漏洞,可到訪這個由加密學專家 Filippo Valsorda 架設的網站,它可幫助用戶檢查網站上是否存在 Heartbleed 漏洞。截稿前 Yahoo! 被發現有此漏洞,但現在已經修正。如果網站配置了一項名為 Perfect forward Secrecy 的功能,那麼這一漏洞的影響將被大幅減小。該功能會改變安全密鑰,因此即使某一特定密鑰被獲得,攻擊者無法解密以往和未來的加密數據。兩大網頁伺服器 Apache 和 nginx 都使用了 OpenSSL, Apache 和 nginx 佔了全球網站伺服器的66%,影響的規模可想而知。加上有使用 OpenSSL 的不只網站伺服器,所有預載了 OpenSSL 1.0.1 和 1.0.2 測試版、而又未進行更新的 Linux 版本包括 Debian Wheezy、Ubuntu 12.04.4 LTS、CentOS 6.5、Fedora 18、OpenBSD 5.3/5.4、FreeBSD 8.4/9.1、NetBSD 5.0.2 和 OpenSUSE 12.2 都要注意。解決方法也非常簡單,只要執行一次系統更新就可以了。

OpenSSL是一款開源軟體,被廣泛用於在線通訊的加密上。SSL 最早在 1994 年由 Netscape 推出,1990 年代以來已經被所有主流瀏覽器採納。近年很多大型網路服務都已經利用這項技術加密數據。如今,Google、Yahoo!和 Facebook 都在使用 SSL 對其網站和服務進行加密。當用戶到 Gmail.com 等安全網站時,就會在 URL 地址旁看到一個「鎖」,表明你在該網站上的通訊都被加密。這個「鎖」表明,第三方無法讀取你與該網站之間的任何通訊。在後台,通過 SSL 加密的數據只有接收者才能解密。如果不法分子監聽了用戶的對話,也只能看到一串隨機字符串,而無法瞭解電子郵件、Facebook 帖子、信用卡賬號或其他訊息的具體內容。HeartBeeld 漏洞能夠洩露伺服器記憶體中的內容,包含了一些最敏感的數據,例如用戶名稱、密碼和信用卡號等。此外,攻擊者可以取得伺服器數位密鑰的副本,從而模仿這些伺服器,或是對用戶通過伺服器的通訊進行解密。

Heartbleed 的漏洞在2014年4月7日由 Codenomicon 和 Google 安全部門的研究人員獨立發現。為了將影響降到最低,研究人員已經與 OpenSSL 團隊和其他關鍵的內部人士展開了合作,在公佈該問題前,就已經準備好修正版本的 OpenSSL 1.0.1g 了。筆者想說的是,任何軟體都可能有漏洞,關鍵只在於開發團隊有沒有安全意識、發布更新的速度快不快。像這次漏洞被公開的同一天修正檔就已經出來了,這就是開源技術的強大之處。反觀微軟對旗下產品的安全意識就不大足夠了,以開源瀏覽器 Firefox 為例,2009 年 Secunia 的調查發現,Firefox 的零時差漏洞最快在 15 天內已經修補,最長修補時間為 86 天。Internet Explorer 最少要 110 天才修補完高度風險的零時差漏洞, 最長則花了294天。

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *