详解OpenSSL的“心脏流血”漏洞
2014-04-17 15:59:49
来源:星星生活

4月7日,OpenSSL宣布存在一个名为心脏流血(Heartbleed)的重大漏洞,OpenSSL的大漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。

什么是OpenSSL

SSL是一流行的传输层中的加密技术,可保护网络用户在互联网上传输的隐私信息。例如,访问谷歌网站时,你会发现协议是以https,而不是http。通常在URL左侧有一绿色的“锁头”图标,https//意思是指你与该网站的通讯受到加密保护。


图:全球有71万部服务器存在心脏流血漏洞,其中中国有3万多台

而大多数的SSL加密网站都基于名为OpenSSL的开源软件包。目前全球大概有三分之二的服务器使用OpenSSL服务,被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用,包括加拿大税务局网站。所以,所以漏洞影响范围广大,可以称作互联网上的一次大地震,影响颇大。

心脏流血漏洞是什么?

这次漏洞是出现在两年前才引入的OpenSSL的的TLS/DTLS传输安全层的“心跳”(heartbeat)模块中,心跳模块的功能每隔一定时间发出信息,让另一端知道其存在,维持链接,研究人员发现,心跳模块受到黑客攻击时,客户与网站传输过程中会泄露服务器内存中的内容,而攻击者每次从服务器内存中获得64KB数据中包含了一些最敏感的数据,如用户名、密码和信用卡号等隐私数据,这就是取名为心脏流血(Heartbleed)的原因。

来自信息安全公司Fox-IT的罗纳德·普林斯(Ronald Prins)通过Twitter表示:“我们已通过Heartbleed漏洞获得了雅虎的一个用户名和密码。”而另一名开发者斯科特·加洛维(Scott Galloway)表示:“运行Heartbleed脚本5分钟时间,就获得了雅虎电子邮箱的200个用户名和密码。” 所以,这次加拿大税务局只有900个SIN卡资料泄漏不算严重了。

收藏

评论已关闭