OpenSSL重大漏洞可导致网购支付密码泄露
点击数:76922014-04-10 13:08:47 来源: 中国数字证书CHINASSL
针对最近爆出的OpenSSL“心脏出血”漏洞,360安全专家石晓虹博士表示,“此漏洞为本年度互联网上最严重的安全漏洞,影响至少两亿中国网民。需要在https开头网址登录的网站,初步评估有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户等知名网站。”
石晓虹介绍说,目前国内使用https的网站都是跟支付和敏感用户数据相关的。据他了解,今天下午,大量网站已开始紧急修复此OpenSSL高危漏洞,但是修复此漏洞普遍需要半个小时到一个小时时间,大型网站修复时间会更长一些。
石晓虹提醒广大互联网服务商,尽快将OpenSSL升级至1.0.1g进行修复。同时建议广大网友,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号。
OpenSSL
是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。
OpenSSL“心脏出血”漏洞利用方式
利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到约30%的https开头网址的用户登录账号和密码、cookie等敏感数据,影响网银、知名购物网站等。
漏洞成因
OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。
存在该漏洞的版本
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
修复建议
使用低版本SSL的网站,并尽快按如下方案修复该漏洞:
升级OpenSSL 1.0.1g
使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块
上一页1下一页 |
原文地址:https://www.chinassl.net/announcements/n467.html
版权所有@转载请注明出处:CHINASSL[https://www.chinassl.net]