欢迎您访问科普小知识本站旨在为大家提供日常生活中常见的科普小知识,以及科普文章!
您现在的位置是: 首页

OpenSSL漏洞

科普小知识 2023-11-22 20:39:57
...

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用,所以本次漏洞特别值得关注。

1、简介

安全协议OpenSSL2014年4月8日曝出严重的安全漏洞。这个漏洞使攻击者能够从内存中读取多达64KB的数据。

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用,所以本次漏洞特别值得关注。


修复OpenSSL漏洞

使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码等敏感的信息。

对于一个安全协议来说,这样的安全漏洞是非常严重的,但该漏洞并不一定导致用户数据泄露。因为该漏洞只能从内存中读取64K的数据,而重要信息正好落在这个可读取的64k上的几率并不大,攻击者除了具备相应的知识外,还需要很好的运气。

该漏洞是由安全公司Codenomicon和谷歌安全工程师独立发现的。使用OpenSSL1.0.1f的服务器将受影响,运维人员应该马上升级。此外,1.0.1以前的版本不受此影响,但是1.0.2-beta仍需修复。

8日下午,大量网站已开始紧急修复此OpenSSL高危漏洞,修复此漏洞普遍需要半个小时到一个小时时间,大型网站修复时间会更长一些。


OpenSSL高危漏洞威胁网银

2、事件

网络安全领域资深人士透露,由于OpenSSL漏洞的出现,在8日、9日地下交易市场中,各种兜售非法数据的交易显得异常火爆,比如一份某省工程类人员的信息数据,清晰显示出大量人员的姓名、身份证号码等。北京知道创宇信息技术有限公司首席执行官杨冀龙说,目前的监测显示,某宝的网站被黑客盗取了1T的内存,雅虎邮箱的大量账户密码也曝已经泄露。

面对“地震级”漏洞,各网站和安全厂商均采取紧急措施,如360、百度等公司在升级OpenSSL,微信已暂停SSL服务,有的网站为规避风险,干脆暂停全部服务。

截至9日晚,国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。