详解OpenSSL重大漏洞谁会受影响如何解决

发布时间：2020-03-23 16:27:57 阅读：次来源：切刀厂家

近日有研究人员公布，广为流行的网络加密软件OpenSSL存在名为Heartbleed的重大漏洞，人们的账号密码、信用卡号码等个人信息可能会失窃。各大主流网站都在抓紧解决这1问题。究竟是什么回事呢？普通网民是不是会遭到影响呢？国外媒体近日就这类疑问逐一进行了详解。

何为SSL？

SSL是1流行的加密技术，可保护网络用户在互联网上传输的隐私信息。例如，访问诸如的安全网站时，你会看到URL左边有1绿色的“锁头”图标，它意指你与该网站的通讯遭到加密保护。以下是它在谷歌Chrome浏览器上的样子：

该锁头表明第三方会没法读取你收发的任何信息。SSL具体是通过将你的数据转变成只有接收方才能破译的加密信息来实现这一点。如果有黑客监听你的对话，他将只能够看到随即字符串，而没法看到你的电邮内容、Facebook帖子、信用卡号码等私密信息。

SSL是1994年最早由网景（Netscape）推出，自1990年代以来一直面向各款主流浏览器。近年来，主流的在线服务也都趋向使用该加密技术。目前，谷歌、雅虎和Facebook对自家的网站和在线服务全都默许使用SSL加密技术。

何为Heartbleed漏洞？

大多数的SSL加密网站都基于名为OpenSSL的开源软件包。周一，研究人员公布该软件存在一个会导致用户通讯内容泄漏的严重漏洞。OpenSSL存在这类漏洞已有约两年时间。

具体来说，SSL标准包括heartbeat选项，让SSL连接一端的计算机发出短信息来确认另外一台计算机仍处于联网状态并取得回复。研究人员发现，存在发送假装的歹意heartbeat信息诱使SSL连接另外一端的计算机泄漏秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容。

漏洞影响很大吗？

是的。服务器内存中存储着大量的私密信息。普林斯顿大学计算机科学家艾德·费尔腾（Ed Felten）指出，使用这类技术的攻击者会“通过模式匹配整理那些信息，试图找到密钥、密码和诸如信用卡号码的个人信息”。

账号密码、信用卡号码失窃的严重性无需赘述，而密钥失窃乃至更加严重。密钥是服务器用以译出它所接受的加密信息的工具。如果攻击者取得服务器的私有密钥，那他就能读取任何发送到服务器的信息。他乃至能够利用密钥冒充服务器，诱使用户泄漏他们的账号密码和其它的敏感信息。

谁发现了漏洞？

是Codenomicon和谷歌安全部门（Google Security）的研究人员独立发现的。为了最大限度地下降公布漏洞会带来的伤害，研究人员在公布之前先与OpenSSL团队和其它的关键内部人员合作准备好修复方案。

哪些人能够利用Heartbleed漏洞？

“利用该漏洞对了解它的人来讲并不是很难。”费尔腾泄漏。利用该漏洞的软件遍及于网络上，虽然该软件没iPad运用那末好用，但任何有编程基础的人都会知道怎样使用。

固然，该漏洞或许对具有条件大规模拦截用户流量的情报机构而言最具价值。美国国家安全局（NSA）与美国电信服务提供商有秘密协议，它能够接入互联网干线。用户可能会认为Gmail、Facebook等网站上的SSL加密可以保护他们免受监听。但Heartbleed漏洞可让NSA取得破译私密通讯所需的私有密钥。

要是NSA已在公众知晓之前发现Heartbleed漏洞的存在，也不会使人惊讶。鉴于OpenSSL是世界上最流行的加密软件，NSA的安全专家之前很有可能仔细研究过OpenSSL的源代码。

有多少网站遭到影响？

目前还没有准确的数据，不过发现漏洞的研究人员指出，最流行的两家网络服务器Apache 和nginx均使用OpenSSL。两者加起来，总计覆盖约三分之二的网站。SSL还被其它的网络软件所使用，如桌面邮箱客户端和聊天软件。

研究人员是在几天前告知OpenSSL团队和其他的关键利益相干者漏洞情况的。因此，OpenSSL能够在将漏洞公诸于众的同时发布OpenSSL软件的修复版本。要消除漏洞，网站只需要确保它们使用的是OpenSSL最新版本。

雅虎发言人表示，“我们的团队已在雅虎的各个主要网站（雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr)）上成功完成修复，我们正在针对公司旗下其它的网站实行修复。”

谷歌称，“我们对SSL漏洞进行了评估，并已修复谷歌的各款主要服务。”Facebook也表示，它在漏洞公布时已解决好该问题。

微软发言人则写道，“我们在跟进OpenSSL库问题的报告。要是肯定它有对我们的装备与服务造成影响，我们会采取必要的措施来保护我们的用户。”

用户能怎样解决问题？

很遗憾，用户要是访问到采取含漏洞OpenSSL软件的网站，他们并不能保护自己。有问题的网站升级OpenSSL软件以后，用户才能够得到保护。

不过，受影响的网站修复好OpenSSL软件问题后，用户就可以通过更改自己的密码来保护自己。攻击者之前可能已截取了用户的密码，费尔腾称用户可能没法判断他们的密码是不是失窃。