OpenSSL究竟為何物，為何它的影響力如此之大？

4月8日晚間，各大網站都在報道安全協議OpenSSL重大安全漏洞新聞。這個漏洞使攻擊者能夠從內存中讀取多達64 KB的數據。該漏洞被命名為“心臟出血”，雖然64KB數據量并不大，但黑客可以重復利用該漏洞、多次竊取數據，并可能因此獲得用戶的加密密鑰，解密敏感數據。那么OpenSSL究竟為何物，為何它的影響力如此之大？

OpenSSL是什么？

OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議。

此次漏洞的成因是OpenSSL Heartbleed模塊存在一個BUG，當攻擊者構造一個特殊的數據包，滿足用戶心跳包中無法提供足夠多的數據會導致memcpy把SSLv3記錄之后 的數據直接輸出，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的OpenSSL服務器內存數據。

目前各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站都在使用。據悉，該漏洞是由安全公司Codenomicon和谷歌安全工程師獨立發現的。使用OpenSSL 1.0.1f的服務器將受影響，運維人員應該馬上升級。此外，1.0.1以前的版本不受此影響，但是1.0.2-beta仍需修復。

修復建議

• 使用低版本SSL的網站，并盡快按如下方案修復該漏洞；
• 升級OpenSSL 1.0.1g；
• 使用-DOPENSSL_NO_HEARTBEATS參數重新編譯低版本的OpenSSL以禁用Heartbleed模塊；

推薦查看：

• OpenSSL官網：https://www.openssl.org/
• 關于Open SSL漏洞分析：http://drops.wooyun.org/papers/1381
• Heartbleed解析：http://heartbleed.com/

截止到目前，大量網站都已修復OpenSSL高危漏洞。

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈