| 摘要:OpenSSL“心脏出血”漏洞 是一个非常严重的问题。本文在 对该漏洞进行分析的基础上, 提出 了防护操作建议以减少网络安全 隐患。 【关键词】OpenSSL Heartbleed 漏洞 防护操 作建议 1 漏洞描述 2014 年4 月7 日OpenSSL 发布了安全 公告,在OpenSSL1.0.1 版本中存在严重漏洞 (CVE-2014-0160)。OpenSSL Heartbleed 模块存 在一个BUG,问题存在于ssl/dl_both.c 文件中 的心跳部分,当攻击者构造一个特殊的数据包, 满足用户心跳包中无法提供足够多的数据会导 致memcpy 函数把SSLv3 记录之后的数据直 接输出,该漏洞导致攻击者可以远程读取存在 漏洞版本的OpenSSL 服务器内存中多达64K 的数据。 在目前已有的资料中,国内外已经称本漏 洞为“击穿心脏”、“毁灭级”、“今年最严重” 的漏洞。 2 技术原理 SSL(安全套接层)协议是使用最为普遍 网站加密技术,而OpenSSL 则是开源的SSL 套件,为全球成千上万的web 服务器所使用。 Web 服务器正是通过它来将密钥发送给访客 然后在双方的连接之间对信息进行加密。URL 中使用 https 打头的连接都采用了SSL 加密技 术。在线购物、网银等活动均采用SSL 技术 来防止窃密及避免中间人攻击。 Heartbleed 漏洞之所以得名,是因为用于 安全传输层协议(TLS)及数据包传输层安全 协议(DTLS) 的 Heartbeat 扩展存在漏洞。 SSL 标准包含一个心跳选项,允许SSL 连接 一端的电脑发出一条简短的信息,确认另一端 的电脑仍然在线,并获取反馈。研究人员发现, 可以通过巧妙的手段发出恶意心跳信息,欺骗 另一端的电脑泄露机密信息。受影响的电脑可 能会因此而被骗,并发送服务器内存中的信息。 漏洞的原因在于:Heartbeat 扩展为TLS/DTLS 提供了一种新的简便的连接保持方式,但由于 OpenSSL 1.0.2-beta 与OpenSSL 1.0.1 在处理 TLS heartbeat 扩展时的边界错误,攻击者可以 利用漏洞披露连接的客户端或服务器的存储器 内容,导致攻击者不仅可以读取其中机密的加 密数据,还能盗走用于加密的密钥。 3 影响危害 通过读取网络服务器内存,攻击者可以 访问敏感数据,从而危及服务器及用户的安 全。漏洞还可能暴露其他用户的敏感请求和响 应,包括用户任何形式的POST 请求数据,会 话cookie 和密码,这能使攻击者可以劫持其 他用户的服务身份。在其披露时,约有17% 或五十万通过认证机构认证的互联网安全网络 服务器被认为容易受到攻击。电子前哨基金会, Ars Technica,和布鲁斯• 施奈尔都认为心脏出 血漏洞是“灾难性的”。 根据已经公开的信息,该漏洞影响分布 情况如下。 (1)OpenSSL 1.0.1f ( 受影响) (2)OpenSSL 1.0.2-beta ( 受影响) (3)OpenSSL 1.0.1g ( 不受影响) (4)OpenSSL 1.0.0 branch ( 不受影响) (5)OpenSSL 0.9.8 branch ( 不受影响) Heartbleed 能让攻击者从服务器内存中读 取包括用户名、密码和信用卡号等隐私信息在 内的数据,已经波及大量互联网公司。 OpenSSL“心脏出血”漏洞的严重性远比 想象的严重,一些用户没有考虑到手机上大量 应用也需要账号登陆,其登陆服务也有很多是 OpenSSL 搭建的,因此用户在这阶段用手机 登陆过网银或进行过网购,则需要在漏洞得到 修补后,更改自己的密码。 4 防护操作建议 为防范可能的攻击,建议采取如下措施: (1)网站服务提供商及时下载升级。 如无法及时升级, 可参考OpenSSL 官方 建议重新编译, 加上-DOPENSSL_NO_ HEARTBEATS 选项禁止心跳部分的功能; (2)网站服务商在未及时升级前,建议 采用第三方网站安全防护平台或专用防护设备 对服务器提供防护; (3)互联网用户近期应注意网上应用(包 括手机APP)安全风险,密切关注未来数日 内的财务报告。如发现网银证书、账号和密码 被非法使用、篡改的情况,应及时向服务商或 CNVD 报告; (4)加强自我账户的防护意识,不要在 受影响的网站上登录帐号——“心血”漏洞的 范围波及很大,不仅很多网站服务器收到影响, 部分网络设备中也存在。当必须要登录一些网 站时,可以把网站先放到百度安全中心,360 网站卫士等提供的心血”漏洞检查,然后确定 后再登录。 截止目前为止,“心血”漏洞是安全协 议OpenSSL 爆出本年度最严重的安全漏洞, 很多网站的和服务器都受到影响,即便按照上 述方法操作,网页浏览活动也依然存在一定风 险。Heartbleed 甚至能影响追踪网站用户活动 的浏览器Cookie,所以只访问不登录也有风险。 一些大的安全公司,如百度,360,沃通 等公司都推出了一些相应的检测,修复,预防 等对策。作为普通用户,要及时采纳他们提供 的一些建议。 参考文献 [ 1 ] h t t p : / / w w w . c n v d . o r g . c n / w e b i n f o / show/3399. [ 2 ] h t t p : / / i t . s o h u . c o m / 2 0 1 4 0 4 0 9 / n397937004.shtml. [ 3 ] h t t p : / / n e t s e c u r i t y . 5 1 c t o . c o m / art/201404/435222.htm. [ 4 ] h t t p : / / b l o g . d o c u m e n t f o u n d a t i o n . org/2014/04/10/libreoffice-4-2-3-isnow- available-for-download/. [ 5 ] h t t p : / / e n . w i k i p e d i a . o r g / w i k i / Heartbleed_bug. 作者单位 石家庄职业技术学院 河北省石家庄市 050081 |
| 在线咨询: |
|
| 联系电话: | 18602588568 |
| 投稿邮箱: | bosslunwen@126.com |
| ★诚信★专业★权威★快速★ | |
