OpenSSL重大漏洞曝光

点击数：72832014-04-10 13:10:05　来源: 中国数字证书CHINASSL

OpenSSL一个名为“Heartbleed”的漏洞周一曝光。利用这一漏洞，攻击者可以获取用户的密码，或欺骗用户访问钓鱼网站。目前已有业内人士表示，利用这一漏洞获得了雅虎用户的密码。

OpenSSL是一款开源软件，被广泛用于在线通信的加密。HeartBeat漏洞能够泄露服务器内存中的内容，而这其中包含了一些最敏感的数据，例如用户名、密码和信用卡号等隐私数据。此外，攻击者可以获得服务器数字密钥的拷贝，从而模仿这些服务器，或是对用户通过服务器的通信进行解密。

这一信息安全漏洞尤为严重。如果希望修复这一漏洞，那么网站将被迫进行大幅调整，此外任何使用OpenSSL的用户都必须修改密码，因为这些密码可能已被窃取。由于越来越多人依赖在线服务，并在多个网站中重复使用同一密码，因此这将带来大问题。

信息安全公司Fox-IT的罗纳德·普林斯(Ronald Prins)通过Twitter表示：“我们已通过Heartbleed漏洞获得了雅虎的一个用户名和密码。”而另一名开发者斯科特·加洛维(Scott Galloway)表示：“运行Heartbleed脚本5分钟时间，就获得了雅虎电子邮箱的200个用户名和密码。”

雅虎周一晚些时候宣布，已修复了主要网站的这一漏洞。目前雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎食品、雅虎科技、Flickr和Tumblr等网站上的漏洞已经修复，而雅虎正在解决其他网站的问题。不过雅虎并未告知用户应当采取什么措施，以及这一漏洞对用户造成了什么影响。

加密学专家菲利普·瓦尔索达(Filippo Valsorda)发布了一款工具，帮助用户检查网站上是否存在Heartbleed漏洞。这一工具显示，谷歌、微软、Twitter、Facebook、Dropbox和其他多家网站都没有这一问题，但雅虎不在其中。测试中出现问题的其他网站还包括Imgur、OKCupid和Eventbrite等。

这一漏洞的正式名称为CVE-2014-0160。漏洞影响了OpenSSL的1.0.1和1.0.2测试版。OpenSSL已经发布了1.0.1g版本，以修复这一问题，但网站对这一软件的升级还需要一段时间。不过，如果网站配置了一项名为“perfect forward secrecy”的功能，那么这一漏洞的影响将被大幅减小。该功能会改变安全密钥，因此即使某一特定密钥被获得，攻击者也无法解密以往和未来的加密数据。

解读：

什么是“Heartbleed”漏洞？

多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一，研究人员宣布这款软件存在严重漏洞，可能导致用户的通讯信息暴露给监听者。OpenSSL大约两年前就已经存在这一缺陷。

工作原理：SSL标准包含一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。研究人员发现，可以通过巧妙的手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。

该漏洞的影响大不大？

很大，因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德·菲尔腾(Ed Felten)表示，使用这项技术的攻击者可以通过模式匹配对信息进行分类整理，从而找出密钥、密码，以及信用卡号等个人信息。

丢失了信用卡号和密码的危害有多大，相信已经不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥，便可读取其收到的任何信息，甚至能够利用密钥假冒服务器，欺骗用户泄露密码和其他敏感信息。

有多少网站受到影响？

目前还没有具体的统计数据，但发现该漏洞的研究人员指出，当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看，这两种服务器约占全球网站总数的三分之二。SSL还被用在其他互联网软件中，比如桌面电子邮件客户端和聊天软件。

发现该漏洞的研究人员几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题，各大网站需要尽快安装最新版OpenSSL。

用户应当如何应对该问题？

不幸的是，如果访问了受影响的网站，用户无法采取任何自保措施。受影响的网站的管理员需要升级软件，才能为用户提供适当的保护。

不过，一旦受影响的网站修复了这一问题，用户便可以通过修改密码来保护自己。攻击者或许已经拦截了用户的密码，但用户无法知道自己的密码是否已被他人窃取。