OpenSSL 發現緻命漏洞，三分之二網際網路淪陷

由于網際網路基礎安全協定openssl的漏洞存在時間較長，波及範圍廣（超過三分之二網際網路站受到影響），攻擊簡便且不會留下痕迹，其對全球網際網路尤其是網絡金融和電子商務行業的沖擊将難以估量。

研究者近日在網際網路安全協定openssl v1.0.1到1.0.1f的密碼算法庫中發現了一個非常嚴重bug（cve-2014-0160），該bug允許攻擊者讀取存在bug的系統的64kb處理記憶體，暴露加密流量的密鑰，使用者的名字和密碼，以及通路的内容。

openssl是apache和nginx網絡伺服器的預設安全協定，此外大量作業系統、電子郵件和即時通訊系統也采用openssl加密使用者資料 通訊。而此次發現的bug已經存在兩年之久，這意味着攻擊者可以利用該bug擷取大量網際網路伺服器與使用者之間的數字證書私鑰，進而擷取使用者賬戶密碼等敏感 資料。由于攻擊者不會在伺服器日志中留下痕迹，是以網站系統管理者将無法得知系統漏洞是否已經被黑客利用，也無從得知使用者資料和賬号是否已經被黑客掃描獲 取并用于未來的網絡黑市交易。

據ars報道，超過三分之二的網際網路伺服器使用存在漏洞的openssl版本來保護使用者賬戶密碼、網銀賬号等敏感資料。由于漏洞存在時間較長，攻擊簡便且不會留下痕迹，此次發現的漏洞的影響範圍，以及對網際網路尤其是網絡金融和電子商務行業的沖擊将難以估量。

據solidot報道，openssl已經釋出了1.0.1g修正bug，debian發行版也在半小時修複了bug，fedora釋出了一個權宜的修正方案。 該bug是在2011年引入到openssl中，使用openssl 0.9.8的發行版不受影響，但debian wheezy、ubuntu 12.04.4、 centos 6.5、fedora 18、suse 12.2、openbsd 5.4、freebsd 8.4和netbsd 5.0.2之後的版本都受到影響。如果你運作存在該bug的系統，那麼最好廢除所有密鑰。

修複建議

使用低版本ssl的網站，并盡快按如下方案修複該漏洞:

更新openssl 1.0.1g

使用-dopenssl_no_heartbeats參數重新編譯低版本的openssl以禁用heartbleed子產品

對于普通使用者來說，安全牛建議近期盡量避免使用網銀等網絡支付服務，盡量抽空修改所有關鍵網銀、網購和社交賬号密碼，并随時留意安全牛的最新報道。

文章來自it經理網