OpenSSL漏洞介绍
OpenSSL漏洞介绍
漏洞简介:
2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本的心跳包模块存在严重漏洞(CVE-2014-0160)。攻击者可以通过构造特殊的数据包,直接远程读取存在漏洞的OpenSSL服务器内存中多达64KB的数据,极有可能导致网站用户帐号密码等敏感数据被非法获取。漏洞发现者甚至声称可以直接获取到证书私钥和重要的商业文档。
漏洞影响:
国内大量使用HTTPS协议的网站相当一部分都存在此漏洞,其中不乏知名电子商务网站及提供关键服务(邮箱、社交等网站),此次曝光的漏洞非常严重,安全威胁不容小觑。
OpenSSL受影响和不受影响版本:
OpenSSL 1.0.1f(受影响)
OpenSSL 1.0.1g (不受影响)
OpenSSL 1.0.0 branch (不受影响)
OpenSSL 0.9.8 branch (不受影响)
什么是SSL?
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。
这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。
什么是“心脏出血”漏洞?
多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给攻击者。OpenSSL大约两年前就已经存在这一缺陷。
OpenSSL漏洞工作原理:
SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
该漏洞的影响大不大?
很大,因为有很多隐私信息都存储在服务器内存中。使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。
丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重:这是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。
网站怎么办?
网站管理员应尽快升级OpenSSL到1.0.1g。
网民怎么办?
1.注意观察相关事件进展,目前尚无法准确评估黑客利用OpenSSL漏洞获得了多少数据。
2.对重要服务,尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到帐户密码,登录还有另一道门槛。
3.随着事件进展,一些知名网站已修复安全漏洞,此时用户可以修改重要服务的登录密码。专家建议:一个密码的使用时间不宜过长,超过3个月就该更换了。
<!-- footer -->
相关动态
已修复漏洞的知名网站
- 银行
- 中国工商银行 www.icbc.com.cn
- 招商银行 www.cmbchina.com
- 中国农业银行 www.abchina.com
- 广东发展银行 ebank.gdb.com.cn
- 中国银行 www.boc.cn
- 深圳发展银行 bank.pingan.com
- 中国建设银行 www.ccb.cn
- 兴业银行 www.cib.com.cn
- 交通银行 www.bankcomm.com
- 上海浦东发展银行 www.spdb.com.cn
- 中信实业银行 www.ecitic.com
- 上海银行 www.bankofshanghai.com.cn
- 中国光大银行 www.cebbank.com
- 宁波市商业银行 www.nbcb.com.cn
- 中国民生银行 www.cmbc.com.cn
- 电商
- 淘宝 www.taobao.com
- 支付宝 www.alipay.com
- 京东 www.jd.com
- 卓越 www.amazon.cn
- 易迅 www.yixun.com
- 新蛋 www.newegg.cn
- 门户
- 新浪 www.sina.com.cn
- 网易 www.163.com
- 雅虎 www.yahoo.com
- 腾讯 www.qq.com
未修复漏洞的网站
- <!-- <li>www.273.cn</li> -->
- aoyama-platinum.com
- bookstores.umn.edu
- www3.startsupport.com
- cvvshop.lv
- gdx.gestamp.com
- 555wang.com
- c.108198.com
- 210.237.109.229
- jc3.guiguyun.cn
- snowsummit.tv
- websterandsons.filecamp.com
- 220.248.244.12
- oa1.zrjt.com.cn
- catwebedi.com
- esupplier.amat.com
- trac.syous.co.jp
- 218.106.152.82
- liji-ccms.fenxibao.com
- elearning2.danahertm.com
- sellerpartner.dxmallcloud.com
新闻动态
OpenSSL安全漏洞威胁升级 电脑手机均可能被窃取隐私
4月11日消息,互联网严重安全漏洞OpenSSL“心脏出血”的威胁仍在发酵。金山毒霸安全中心研究发现,不仅网民访问https攻击网站会泄露个人隐私信息,而且使用包含OpenSSL代码库的一些电脑软件,甚至安卓APP、浏览器,都有可能面临隐私被窃取的风险。
金山毒霸安全专家指出,国外已有黑客将针对个人电脑、手机、平板设备的攻击代码公开,可能已在黑客圈大面积传播。黑客利用OpenSSL“心脏出血”漏洞构造特殊网页,诱骗网民点击访问。
当用户电脑或移动电子设备使用了OpenSSL的软件,访问到上述攻击网页时,黑客就通过服务器发送恶意“心跳包”(定时发送的通讯包)给客户端,利用漏洞多次远程读取用户系统内存数据,盗取用户数字证书,帐号,密码,上网记录等重要信息。
OpenSSL Heartbleed(“心脏出血”)漏洞被业内称为2014年度最重大的安全漏洞之一,它不久前由安全公司Codenomicon和谷歌的工程师发现,漏洞编号CVE-2014-0160。
由于OpenSSL协议广泛应用于网银、在线支付、电子邮件、电商等重要网站,所以利用此漏洞的黑客只需坐在电脑前,即可实时获取约30%以https开头网址的用户登录账号密码。
据最新消息,该漏洞不仅影响了大量网站服务器,也存在于思科和Juniper的网络设备中。思科已经列出了10余款被确认存在漏洞的产品,而另60余款产品可能受到影响,但调查仍在进行中。
除网络设备之外,一些手机系统也存在“心脏出血”漏洞。谷歌近日发布公告证实安卓手机用户同样受到此漏洞的威胁。谷歌称安卓系统的4.1.1版采用了有漏洞版本的OpenSSL协议库,用户同样面临隐私遭窃取的风险。
据安全圈人士透露,由于OpenSSL漏洞的出现,在近日的地下交易市场中,各种兜售非法数据的交易显得异常火爆。
目前,国内外众多网站和网络服务商正积极应对此次重大安全事件。金山毒霸安全中心分析,截止目前,包括工行、建行、农行、交行、招行等较大的银行网站,支付宝、淘宝、京东、卓越等电商及支付网站,新浪、腾讯、网易等门户网站,国内网民经常使用的知名网站服务已修复该漏洞。但是,国内仍有部分网站仍未修复,尚存风险。
金山毒霸安全中心正在研发可靠防御方案,相应的技术方案正在紧张测试中,最近即将上线。安全专家建议近期在QQ聊天、处理邮件、上网浏览时,不要点击不受信任的https开头的链接,避免攻击导致个人重要信息泄露。另外,对网民来说,更改密码设置也是非常必要的,建议不同的网络服务设置不同的账号密码,防止某网站账号泄露后造成更大范围的隐私泄露。
转自:http://fish.ijinshan.com/checkopenssl/check
OpenSSL漏洞介绍相关推荐
- 漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
目录 未分类 Host 头攻击(高危) 域名访问限制不严格(高危) URL 重定向(中危) 会话劫持漏洞(中危) 会话固定漏洞(中危) DNS 域传送漏洞(中危) 检测到网站被黑痕迹(高危) 传输层保 ...
- 被称为“核弹级别”的OpenSSL漏洞
1.首先看下新闻: 转自:http://tech.sina.com.cn/i/2014-04-09/10049307446.shtml 新浪科技讯 北京时间4月9日上午消息,美国新闻网站Vox周二撰文 ...
- OPenSSL漏洞原理与安全加固
openSSL漏洞原理及安全加固 2014年4月8日晚,互联网爆出了又一重量级安全漏洞,即CVE-2014-0160,通俗来讲就是OpenSSL出现了安全漏洞. 说这个漏洞前,先介绍一下OpenSSL ...
- SSL与OpenSSL关系介绍
SSL与OpenSSL关系介绍 OpenSSL简介 SSL是Secure Socket Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输.Netscape公司在推出第一个W ...
- php 7.1 openssl安装,介绍 php7.1 安装openssl扩展,php openssl
介绍 php7.1 安装openssl扩展介绍php7.1安装心脏出血扩展,PHP7栏目介绍php7.1 安装openssl扩展的方法 推荐(免费):PHP7 在安装(同脉冲亮度分析仪)脉冲振幅分析器 ...
- 惠普Teradici PCoIP 受OpenSSL 漏洞影响,波及1500万个端点
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 惠普提醒称,Teradici PCoIP 客户端和代理(Windows.Linux 和 macOS 版本)中存在一个严重漏洞,影响1500个端点 ...
- XXE漏洞介绍及利用
目录 XXE漏洞介绍 XXE漏洞 XML介绍及用途 XML语法规则 函数介绍 存在XXE漏洞代码 php中测试POC 有回显XXE漏洞利用 读取文档文件 读取php文件 无回显XXE漏洞利用 测试原理 ...
- 高危OpenSSL 漏洞可导致远程代码执行
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OpenSSL 中存在一个高危漏洞,可导致恶意人员在服务器端设备上实现远程代码执行. OpenSSL是一款使用广泛的加密库,提供SSL 和 TL ...
- mysql漏洞_应用CVE: 最新的Mysql高危漏洞介绍
MySQL官方最近做了一个大的安全漏洞补丁,修复了25 个安全漏洞,关于这些漏洞细节官方和媒体目前为止还有比较少的介绍和分析文章.在此笔者搜集下相关的详细,从邮件讨论组趴到一些细节信息,在此介绍一下几 ...
最新文章
- JS脚本语言 JavaScript
- linux怎样自制库_linux 下动态链接库的制作与使用
- 9名程序员被抓!这次真的活该.....
- 使用python完成冒泡排序_python 冒泡排序优化,用递归实现冒泡排序
- 图说世界编程语言排行
- Linux C学习--getline()函数
- CSS布局说——可能是最全的
- 判断输入的IP地址是否合法
- 【语音隐写】基于matlab GUI LSB语音信号数字水印【含Matlab源码 619期】
- ASP.NET的gridview设置数据格式(DataFormatString={})与 String.Format()【转载】
- [常用工具]深度学习Caffe处理工具
- 计算机的音标英语怎么说,computer是什么意思_computer的翻译_音标_读音_用法_例句_爱词霸在线词典...
- 工作之余的抓包乐趣,fiddler抓包、Wireshark抓包
- Speedoffice(PPT)如何设置文字顶部对齐
- C语言 7-7 书号判断与纠错
- 多御浏览器新出的手机版本有什么功能?
- Docker初识:安装centos(ssh远程登录)
- Can‘t write; duplicate key in table ‘qrtz_triggers‘
- 推荐一款latex公式OCR识别软件
- 优思学院|测量系统分析(MSA)中的偏倚和线性是什么?