openssl心臟出血漏洞來襲 openssl心臟出血漏洞防治方法

小編帶來了openssl安全漏洞介紹,想知道openssl心臟出血漏洞防治方法是什么嗎?近日,openssl心臟出血漏洞被曝光,該漏洞影響范圍甚廣,大家可以通過下文了解詳細信息。
--什么是SSL?
SSL是一種流行的加密技術,可以保護用戶通過互聯(lián)網傳輸?shù)碾[私信息。當用戶訪問Gmail.com等安全網站時,就會在URL地址旁看到一個“鎖”,表明你在該網站上的通訊信息都被加密。
這個“鎖”表明,第三方無法讀取你與該網站之間的任何通訊信息。在后臺,通過SSL加密的數(shù)據(jù)只有接收者才能解密。如果不法分子監(jiān)聽了用戶的對話,也只能看到一串隨機字符串,而無法了解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內容。
SSL最早在1994年由網景推出,1990年代以來已經被所有主流瀏覽器采納。最近幾年,很多大型網絡服務都已經默認利用這項技術加密數(shù)據(jù)。如今,谷歌、雅虎和Facebook都在使用SSL默認對其網站和網絡服務進行加密。
--什么是“心臟出血”漏洞?
多數(shù)SSL加密的網站都使用名為OpenSSL的開源軟件包。本周一,研究人員宣布這款軟件存在嚴重漏洞,可能導致用戶的通訊信息暴露給監(jiān)聽者。OpenSSL大約兩年前就已經存在這一缺陷。
工作原理:SSL標準包含一個心跳選項,允許SSL連接一端的電腦發(fā)出一條簡短的信息,確認另一端的電腦仍然在線,并獲取反饋。研究人員發(fā)現(xiàn),可以通過巧妙的手段發(fā)出惡意心跳信息,欺騙另一端的電腦泄露機密信息。受影響的電腦可能會因此而被騙,并發(fā)送服務器內存中的信息。
--該漏洞的影響大不大?
很大,因為有很多隱私信息都存儲在服務器內存中。普林斯頓大學計算機科學家艾德·菲爾騰(Ed Felten)表示,使用這項技術的攻擊者可以通過模式匹配對信息進行分類整理,從而找出密鑰、密碼,以及信用卡號等個人信息。
丟失了信用卡號和密碼的危害有多大,相信已經不言而喻。但密鑰被盜的后果可能更加嚴重。這是是信息服務器用于整理加密信息的一組代碼。如果攻擊者獲取了服務器的私鑰,便可讀取其收到的任何信息,甚至能夠利用密鑰假冒服務器,欺騙用戶泄露密碼和其他敏感信息。
--誰發(fā)現(xiàn)的這個問題?
該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發(fā)現(xiàn)的。為了將影響降到最低,研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作,在公布該問題前就已經準備好修復方案。
--誰能利用“心臟流血”漏洞?
“對于了解這項漏洞的人,要對其加以利用并不困難。”菲爾騰說。利用這項漏洞的軟件在網上有很多,雖然這些軟件并不像iPad應用那么容易使用,但任何擁有基本編程技能的人都能學會它的使用方法。
當然,這項漏洞對情報機構的價值或許最大,他們擁有足夠的基礎設施來對用戶流量展開大規(guī)模攔截。我們知道,美國國家安全局(以下簡稱“NSA”)已經與美國電信運營商簽訂了秘密協(xié)議,可以進入到互聯(lián)網的骨干網中。用戶或許認為,Gmail和Facebook等網站上的SSL加密技術可以保護他們不受監(jiān)聽,但NSA 卻可以借助“心臟流血”漏洞獲取解密通訊信息的私鑰。
雖然現(xiàn)在還不能確定,但如果NSA在“心臟流血”漏洞公之于眾前就已經發(fā)現(xiàn)這一漏洞,也并不出人意料。OpenSSL是當今應用最廣泛的加密軟件之一,所以可以肯定的是,NSA的安全專家已經非常細致地研究過它的源代碼。
--有多少網站受到影響?
目前還沒有具體的統(tǒng)計數(shù)據(jù),但發(fā)現(xiàn)該漏洞的研究人員指出,當今最熱門的兩大網絡服務器Apache和nginx都使用OpenSSL??傮w來看,這兩種服務器約占全球網站總數(shù)的三分之二。SSL還被用在其他互聯(lián)網軟件中,比如桌面電子郵件客戶端和聊天軟件。
發(fā)現(xiàn)該漏洞的研究人員幾天前就已經通知OpenSSL團隊和重要的利益相關者。這讓OpenSSL得以在漏洞公布當天就發(fā)布了修復版本。為了解決該問題,各大網站需要盡快安裝最新版OpenSSL。
雅虎發(fā)言人表示:“我們的團隊已經在雅虎的主要資產中(包括雅虎主頁、雅虎搜索、雅虎電郵、雅虎財經、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了適當?shù)男迯痛胧覀兡壳罢谂槠煜碌钠渌W站部署修復措施。”
谷歌表示:“我們已經評估了SSL漏洞,并且給谷歌的關鍵服務打上了補丁。”Facebook稱,在該漏洞公開時,該公司已經解決了這一問題。
微軟發(fā)言人也表示:“我們正在關注OpenSSL問題的報道。如果確實對我們的設備和服務有影響,我們會采取必要措施保護用戶。”
--用戶應當如何應對該問題?
不幸的是,如果訪問了受影響的網站,用戶無法采取任何自保措施。受影響的網站的管理員需要升級軟件,才能為用戶提供適當?shù)谋Wo。
不過,一旦受影響的網站修復了這一問題,用戶便可以通過修改密碼來保護自己。攻擊者或許已經攔截了用戶的密碼,但用戶無法知道自己的密碼是否已被他人竊取。
為幫助用戶避免相應風險,360網站衛(wèi)士推出OpenSSL漏洞在線檢查工具(http://wangzhan.#/heartbleed),輸入網址就能夠檢測網站是否存在該漏洞。
以上就是關于openssl安全漏洞介紹的去全部內容哦~
相關文章
心臟出血漏洞一鍵檢測app下載 心臟出血漏洞檢測軟件下載地址
上周,OpenSSL“心臟出血”安全漏洞風暴席卷全球并不斷發(fā)酵,據(jù)谷歌公司發(fā)布的公告,“心臟出血”的威脅已經蔓延至手機。由于安卓系統(tǒng)的4.1.1版采用了有漏洞版本的OpenSSL2014-04-15互聯(lián)網心臟出血漏洞怎么修復? 心臟出血漏洞修復教程
安全協(xié)議OpenSSL2014年4月8日曝出嚴重的安全漏洞。使用了存在漏洞的OpenSSL版本,用戶登錄該網站時就可能被黑客實時監(jiān)控到登錄賬號和密碼等敏感的信息。下面說說互聯(lián)網心臟2014-04-15