由于互聯(lián)網(wǎng)基礎(chǔ)安全協(xié)議OpenSSL的漏洞存在時間較長，波及范圍廣（超過三分之二互聯(lián)網(wǎng)站采用此協(xié)議，其中30%存在漏洞），攻擊簡便且不會留下痕跡，其對全球互聯(lián)網(wǎng)尤其是網(wǎng)絡(luò)金融和電子商務(wù)行業(yè)的沖擊將難以估量。

研究者近日在互聯(lián)網(wǎng)安全協(xié)議OpenSSL v1.0.1到1.0.1f的密碼算法庫中發(fā)現(xiàn)了一個非常嚴(yán)重bug（CVE-2014-0160，代號Heartbleed“心臟出血”），該bug允許攻擊者讀取存在bug的系統(tǒng)的64kb處理內(nèi)存，暴露加密流量的密鑰，用戶的名字和密碼，以及訪問的內(nèi)容。

OpenSSL是Apache和nginx網(wǎng)絡(luò)服務(wù)器的默認(rèn)安全協(xié)議，此外大量操作系統(tǒng)、電子郵件和即時通訊系統(tǒng)也采用OpenSSL加密用戶數(shù)據(jù)通訊。而此次發(fā)現(xiàn)的bug已經(jīng)存在兩年之久，這意味著攻擊者可以利用該bug獲取大量互聯(lián)網(wǎng)服務(wù)器與用戶之間的數(shù)字證書私鑰，從而獲取用戶賬戶密碼等敏感數(shù)據(jù)。由于攻擊者不會在服務(wù)器日志中留下痕跡，因此網(wǎng)站系統(tǒng)管理員將無法得知系統(tǒng)漏洞是否已經(jīng)被黑客利用，也無從得知用戶數(shù)據(jù)和賬號是否已經(jīng)被黑客掃描獲取并用于未來的網(wǎng)絡(luò)黑市交易。

據(jù)Ars報道，超過三分之二的互聯(lián)網(wǎng)服務(wù)器使用存在漏洞的OpenSSL版本來保護用戶賬戶密碼、網(wǎng)銀賬號等敏感數(shù)據(jù)。由于漏洞存在時間較長，攻擊簡便且不會留下痕跡，此次發(fā)現(xiàn)的漏洞的影響范圍，以及對互聯(lián)網(wǎng)尤其是網(wǎng)絡(luò)金融和電子商務(wù)行業(yè)的沖擊將難以估量。

據(jù)solidot報道，OpenSSL已經(jīng)發(fā)布了1.0.1g修正bug，Debian發(fā)行版也在半小時修復(fù)了bug，F(xiàn)edora發(fā)布了一個權(quán)宜的修正方案。 該bug是在2011年引入到OpenSSL中，使用OpenSSL 0.9.8的發(fā)行版不受影響，但Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影響。如果你運行存在該bug的系統(tǒng)，那么最好廢除所有密鑰。

值得注意的是，Vox公司的Tim Lee在博客中指出，OpenSSL的漏洞對NSA這樣的情報部門來說更有價值，NSA與運營商和互聯(lián)網(wǎng)服務(wù)商存在合作關(guān)系，可從互聯(lián)網(wǎng)骨干網(wǎng)大規(guī)模解密OpenSSL加密的數(shù)據(jù)。

安全牛認(rèn)為，如果此漏洞的使用者真的是NSA，那么我們甚至不能排除這是NSA人為削弱互聯(lián)網(wǎng)安全協(xié)議，滲透開源社區(qū)，在關(guān)鍵加密產(chǎn)品和標(biāo)準(zhǔn)中植入后門的又一例證。

修復(fù)建議

• 使用低版本SSL的網(wǎng)站，并盡快按如下方案修復(fù)該漏洞:
• 升級OpenSSL 1.0.1g
• 使用-DOPENSSL_NO_HEARTBEATS參數(shù)重新編譯低版本的OpenSSL以禁用Heartbleed模塊

對于普通用戶來說，有興趣的可以到github查詢你使用的網(wǎng)站是否存在漏洞，小編粗粗看了一下，包括新浪微博、人民網(wǎng)國內(nèi)大多數(shù)網(wǎng)站都沒有啟用SSL，啟用SSL的如淘寶、搜狗、蘇寧、銀聯(lián)等都存在漏洞，安全牛建議近期盡量避免使用電商網(wǎng)銀等網(wǎng)絡(luò)支付服務(wù)，盡量抽空修改所有關(guān)鍵網(wǎng)銀、網(wǎng)購和社交賬號密碼，并隨時留意安全牛的最新報道。

參考閱讀：web安全之殤，HTTPS無法保護隱私