OpenSSL “心血”漏洞 造成巨大影响

2014年4月8日,微软正式停止对Windows XP提供支持服务。

2014年4月8日,著名开源SSL支持软件OpenSSL爆出「心血」漏洞,该漏洞面前几乎现在的一切 IDS系统和防火墙都无法防御。

SSL,全称Secure Socket Layer,是一种互联网上广泛使用的加密协议,它可以防止数据在用户和服务器传输时被窃听。OpenSSL是一款开放源代码的SSL支持软件,通过调用它,所有软件都可以轻松实现SSL加密连接,不需要自己再研究一遍SSL了。HTTPS协议就利用SSL保护用户数据,大型网站在用户登录时会将用户导向HTTPS页面,以便保护用户数据。

但是OpenSSL爆出的「心血」漏洞,则对所有这些软件造成了巨大的影响。这个漏洞会导致什么呢?随机读取内存,一次64KB。

一次64KB,而这个攻击可以被一直重复而不会被防火墙发现,因此黑客可以不断遍历整台服务器的内存,从内存中拿到一些重要的数据,比如用户密码,cookie,和网站程序源代码。利用这些信息,黑客可以盗号,可以利用源代码对服务器发起更多攻击。

漏洞影响OpenSSL 1.01到1.01f版本,最新的1.01g版本已经修复该漏洞,早于1.01的 OpenSSL也没有这个漏洞。

这个漏洞会影响到:

1.(几乎)所有基于Linux、BSD、Mac等平台的启用SSL的网站服务器,包括 Apache、Nginx、Lighttpd、Tengine(其实就是Nginx)等,这些网站包括支付宝、淘宝、腾讯等非常重要的网站。

2.所有在Windows平台上运行的启用SSL的Apache、Nginx等开源网站服务器。

3.(几乎)所有基于SSL的邮件服务(POP3,IMAP,SMTP),包括Gmail,QQ邮箱等。

4.所有OpenV^^P^^N服务以及其它基于SSL的V^^P^^N服务。

作为用户,基本无法防御,如果这两天登录了这些服务,马上修改密码(多数服务商已经修复这些漏洞)

作为站长,如果采用虚拟主机,可以要求服务商升级系统;如果自己有VPS,执行一下系统升级就可以了。