服务器托管用户注意主要的OpenSSL安全漏洞

安全协议OpenSSL打破了当今一年中最严重的安全漏洞。该漏洞在黑客社区中称为“ Heart Bleeding”。使用此漏洞，坐在家用计算机前的黑客可以实时获取用户登录帐户密码，或诱使用户访问钓鱼网站。

OpenSSL是一种安全协议，可为网络通信提供安全性和数据完整性。它包括主要的加密算法，常用的密钥和证书封装管理功能以及SSL协议。它广泛用于门户网站和电子邮件等重要网站。美国新闻网站Vox对当天宣布的OpenSSL“心脏出血”漏洞进行了全面的解释。以下是文章的全文：

什么是SSL？

SSL是一种流行的加密技术，可以保护通过Internet传输的用户私人信息。当用户访问安全网站（例如Gmail.com）时，他们会在URL地址旁边看到一个“锁”，表示您在该网站上的通讯已加密。

此“锁定”表示第三方无法读取您与网站之间的任何通信信息。在后台，只有接收者才能解密通过SSL加密的数据。如果罪犯听了用户的对话，他们只能看到随机的字符串，但是他们无法理解电子邮件，Facebook帖子，信用卡帐户或其他私人信息的特定内容。

SSL由Netscape于1994年首次引入，自1990年代以来已被所有主要浏览器采用。近年来，许多大型网络服务已默认使用此技术来加密数据。如今，Google，Yahoo和Facebook默认使用SSL加密其网站和Web服务。

什么是“心脏出血”漏洞？

大多数SSL加密的网站都使用称为OpenSSL的开源软件包。研究人员周一宣布，该软件存在严重漏洞，可能导致用户的通信暴露给听众。 OpenSSL大约在两年前就存在此缺陷。

工作原理：SSL标准包括心跳选项，该选项允许SSL连接一端的计算机发送短消息，确认另一端的计算机仍处于联机状态并获取反馈。研究人员发现，恶意的心跳消息可以通过巧妙的方式发送，从而欺骗另一端的计算机以泄露机密信息。结果可能会感染受影响的计算机，并将其发送到服务器内存中。

该漏洞的影响是否重大？

很大，因为很多私有信息存储在服务器内存中。普林斯顿大学的计算机科学家Ed Felten说，使用该技术的攻击者可以通过模式匹配对信息进行分类，以找出诸如密钥，密码和信用卡号之类的个人信息。

丢失信用卡号和密码的危害被认为是不言而喻的。但是密钥盗窃的后果可能更严重。这是信息服务器用来组织加密信息的一组代码。如果攻击者获得了服务器的私钥，则他可以读取其收到的任何信息，甚至可以使用密钥来假冒服务器，以欺骗用户泄露密码和其他敏感信息。

谁发现了这个问题？

该漏洞由Codenomicon和Google Security的研究人员独立发现。为了最大程度地减少影响，研究人员已与OpenSSL团队及其他主要内部人员合作，在此问题宣布之前准备了修复程序。

谁可以利用“心脏出血”漏洞？

“对于那些了解这个漏洞的人来说，利用它并不难。”费尔顿说。有许多软件可以在线利用此漏洞。尽管这些软件不像iPad应用程序那样易于使用，但是具有基本编程技能的任何人都可以学习如何使用它们。

当然，此漏洞对于情报机构而言可能是最有价值的，它们具有足够的基础结构来进行大规模的用户流量拦截。我们知道，美国国家安全局（以下简称“ NSA”）已与美国电信运营商签署了秘密协议，以进入Internet的骨干网络。用户可能会认为，Gmail和Facebook等网站上的SSL加密技术可以保护它们免受拦截，但是NSA可以使用“心脏出血”漏洞获取私钥来解密通信信息。

截获用户密码后，用户无法知道其密码是否已被他人窃取。

尽管仍不清楚，但NSA是否在“流血的心脏”漏洞公开之前发现了该漏洞也就不足为奇了。 OpenSSL是当今使用最广泛的加密软件之一，因此可以肯定的是，NSA的安全专家已经非常仔细地研究了其源代码。

有多少网站受到影响？

尚无具体统计数据，但是发现此漏洞的研究人员指出，Apache和nginx是当今最流行的两个Web服务器，它们使用OpenSSL。总体而言，这两台服务器约占全球网站总数的三分之二。 SSL还用于其他Internet软件，例如桌面电子邮件客户端和聊天软件。

发现漏洞的研究人员几天前通知了OpenSSL团队和重要的利益相关者。这允许OpenSSL在漏洞宣布之日发布固定版本。要解决此问题，主要网站需要尽快安装最新版本的OpenSSL。

雅虎发言人表示：“我们的团队已成功地在雅虎的主要资产（包括Yahoo主页，Yahoo搜索，Yahoo Email，Yahoo Finance，Yahoo Sports，Yahoo Food，Yahoo Technology，Flickr和Tumblr）中部署了适当的补救措施。目前正在为我们的其他网站部署补救措施。 ”

谷歌表示：“我们已经评估了SSL漏洞，并在谷歌的关键服务上添加了补丁。” Facebook说，当该漏洞公开后，该公司已解决了该问题。

微软发言人还表示：“我们正在跟踪有关OpenSSL问题的报告。如果确实影响我们的设备和服务，我们将采取必要的措施来保护用户。”

用户应如何处理此问题？

不幸的是，如果您访问受影响的网站，用户将无法采取任何自我保护措施。受影响网站的管理员需要升级软件，以便为用户提供适当的保护。

但是，一旦受影响的站点解决了此问题，用户就可以通过更改密码来保护自己。攻击者可能有

创新互联为大家提供专业化服务器租用，服务器托管，主机租用，云服务器租用，香港主机租用等海内外服务器资源，详情欢迎咨询客服了解。