服务器托管用户注意OpenSSL中的主要安全漏洞

安全协议OpenSSL打破了当今一年中最严重的安全漏洞。该漏洞在黑客社区中被称为“ Heart Bleeding”。利用此漏洞，坐在家用计算机前的黑客可以实时获取用户的登录帐户密码，或诱使用户访问网络钓鱼网站。

OpenSSL是一种安全协议，可为网络通信提供安全性和数据完整性。它包括主要的加密算法，常用的密钥和证书打包管理功能以及SSL协议。目前，它已在主要的在线银行，在线支付，电子商务网站中使用，并广泛用于门户网站和电子邮件等重要网站。当天，美国新闻网站Vox对OpenSSL“流血的心脏”漏洞进行了全面的解释。以下是本文的全文：

什么是SSL？

SSL是一种流行的加密技术，可以保护通过Internet传输的用户私人信息。当用户访问安全网站（例如Gmail.com）时，他们会在URL地址旁边看到一个“锁”，表示您在该网站上的通讯已加密。

此“锁定”表示第三方无法读取您与网站之间的任何通信信息。在后台，只有接收者才能解密通过SSL加密的数据。如果罪犯听了用户的对话，他们只能看到随机的字符串，但是他们无法理解电子邮件，Facebook帖子，信用卡帐户或其他隐私信息的特定内容。

SSL由Netscape于1994年首次引入，自1990年代以来已为所有主流浏览器所采用。近年来，许多大型网络服务已默认使用此技术来加密数据。今天，Google，Yahoo和Facebook默认使用SSL加密其网站和Web服务。

什么是“心脏出血”漏洞？

大多数SSL加密的网站都使用称为OpenSSL的开源软件包。研究人员周一宣布，该软件存在严重漏洞，可能会导致用户的通信暴露给听众。 OpenSSL大约在两年前就存在此缺陷。

工作原理：SSL标准包括心跳选项，该选项允许SSL连接一端的计算机发送短消息，确认另一端的计算机仍处于联机状态并获取反馈。研究人员发现，恶意的心跳消息可以通过巧妙的方式发送，从而欺骗另一端的计算机以泄露机密信息。结果可能会感染受影响的计算机，并将其发送到服务器内存中。

该漏洞的影响是否重大？

这是非常大的，因为许多私有信息存储在服务器内存中。普林斯顿大学的计算机科学家Ed Felten说，使用该技术的攻击者可以通过模式匹配来对信息进行分类，以找出个人信息，例如密钥，密码和信用卡号。

丢失信用卡号和密码的危害被认为是不言而喻的。但是，密钥被盗的后果可能更加严重。这是信息服务器用来组织加密信息的一组代码。如果攻击者获得了服务器的私钥，则他可以读取其收到的任何信息，甚至可以使用该密钥来假冒服务器，以诱骗用户泄露密码和其他敏感信息。

谁发现了这个问题？

该漏洞由Codenomicon和Google Security的研究人员独立发现。为了最大程度地减少影响，研究人员已与OpenSSL团队及其他主要内部人员合作，在此问题宣布之前准备了修复程序。

谁可以利用“心脏出血”漏洞？

“对于那些了解这个漏洞的人来说，利用它并??不难。”费尔顿说。有许多软件可以在线利用此漏洞。尽管这些软件不像iPad应用程序那样易于使用，但是具有基本编程技能的任何人都可以学习如何使用它们。

当然，此漏洞对于情报机构可能具有最大的价值。他们具有足够的基础架构来大规模拦截用户流量。我们知道，美国国家安全局（以下简称“ NSA”）已与美国电信运营商签署了秘密协议，以进入Internet的骨干网络。用户可能会认为，Gmail和Facebook等网站上的SSL加密技术可以保护它们免受拦截，但是NSA可以使用“心脏出血”漏洞获取私钥来解密通信信息。

尽管仍不清楚，但NSA是否在“流血的心脏”漏洞公开之前发现了该漏洞也就不足为奇了。 OpenSSL是当今使用最广泛的加密软件之一，因此可以肯定的是，NSA的安全专家已经非常仔细地研究了其源代码。

有多少网站受到影响？

尚无具体统计数据，但是发现此漏洞的研究人员指出，Apache和nginx是当今最流行的两个Web服务器，它们使用OpenSSL。总体而言，这两台服务器约占全球网站总数的三分之二。 SSL还用于其他Internet软件，例如桌面电子邮件客户端和聊天软件。

发现漏洞的研究人员几天前通知了OpenSSL团队和重要的利益相关者。这允许OpenSSL在漏洞宣布之日发布固定版本。为了解决此问题，主要网站需要尽快安装最新版本的OpenSSL。

雅虎发言人说：“我们的团队已在雅虎的主要资产（包括雅虎首页，雅虎搜索，雅虎电子邮件，雅虎财经，雅虎体育，雅虎食品，雅虎技术，Flickr和Tumblr）成功部署了适当的补救措施，我们目前正在努力为我们的其他网站部署补救措施。”

谷歌表示：“我们已经评估了SSL漏洞并修补了谷歌的关键服务。” Facebook说，当该漏洞公开后，该公司已解决了该问题。

微软发言人还表示：“我们正在跟踪有关OpenSSL问题的报告。如果确实影响到我们的设备和服务，我们将采取必要的措施来保护用户。”

用户应如何处理此问题？

不幸的是，如果您访问受影响的网站，则用户将无法采取任何自我保护措施。受影响网站的管理员需要升级软件，以便为用户提供适当的保护。

但是，一旦受影响的网站解决了此问题，用户便可以通过更改密码来保护自己。攻击者可能已经截获了用户的密码，但是用户无法知道他的密码是否已被他人窃取。

以上是创新互联小编的分享，创新互联专注IDC14年，主要提供服务器托管，服务器租用，主机托管，云服务器租用，香港主机租用等服务器资源，详情欢迎咨询客服了解。