OpenSSL 「心血」漏洞 造成巨大影响

2014 年 4 月 8 日,微软正式停止对 Windows XP 提供支持服务。

2014 年 4 月 8 日,著名开源 SSL 支持软件 OpenSSL 爆出「心血」漏洞,该漏洞面前几乎现在的一切 IDS 系统和防火墙都无法防御。

SSL,全称 Secure Socket Layer,是一种互联网上广泛使用的加密协议,它可以防止数据在用户和服务器传输时被窃听。OpenSSL 是一款开放源代码的 SSL 支持软件,通过调用它,所有软件都可以轻松实现 SSL 加密连接,不需要自己再研究一遍 SSL 了。HTTPS 协议就利用 SSL 保护用户数据,大型网站在用户登录时会将用户导向 HTTPS 页面,以便保护用户数据。

但是 OpenSSL 爆出的「心血」漏洞,则对所有这些软件造成了巨大的影响。这个漏洞会导致什么呢?随机读取内存,一次 64KB。

一次 64KB,而这个攻击可以被一直重复而不会被防火墙发现,因此黑客可以不断遍历整台服务器的内存,从内存中拿到一些重要的数据,比如用户密码,cookie,和网站程序源代码。利用这些信息,黑客可以盗号,可以利用源代码对服务器发起更多攻击。

漏洞影响 OpenSSL 1.01 到 1.01f 版本,最新的 1.01g 版本已经修复该漏洞,早于 1.01 的 OpenSSL 也没有这个漏洞。

这个漏洞会影响到:

1.(几乎)所有基于 Linux、BSD、Mac 等平台的启用 SSL 的网站服务器,包括 Apache、Nginx、Lighttpd、Tengine(其实就是 Nginx)等,这些网站包括支付宝、淘宝、腾讯等非常重要的网站。

2. 所有在 Windows 平台上运行的启用 SSL 的 Apache、Nginx 等开源网站服务器。

3.(几乎)所有基于 SSL 的邮件服务(POP3,IMAP,SMTP),包括 Gmail,QQ 邮箱等。

4. 所有 OpenV^^P^^N 服务以及其它基于 SSL 的 V^^P^^N 服务。

作为用户,基本无法防御,如果这两天登录了这些服务,马上修改密码(多数服务商已经修复这些漏洞)

作为站长,如果采用虚拟主机,可以要求服务商升级系统;如果自己有 VPS,执行一下系统升级就可以了。