可能涉及上千万台服务器
腾讯阿里称已完成修复处理
程序员Sean Cassidy打了个比方,OpenSSL就像互联网世界销量最大的门锁,Heartbleed则相当于让特定版本的OpenSSL,成为无需钥匙即可开启的废锁。据称,上千万台网络服务器都可能受这一漏洞的影响。有报告显示,这一漏洞已经存在了大约两年。
全球互联网集体经历了一场“心脏出血”(Heartbleed)。
美国当地时间4月8日,互联网安全漏洞Heartbleed被发现,这个安全漏洞存在于加密协议OpenSSL中。OpenSSL是旨在保证互联网通信安全的一种加密协议。
这是OpenSSL今年以来爆出最严重的安全漏洞。利用该漏洞,黑客可实时获取全球近1/3以https开头网址的用户登录账号密码,范围涉及大批网银、购物网站、电子邮件等。据称,上千万台网络服务器都可能受这一漏洞的影响。有报告显示,这一漏洞已经存在了大约两年。
亚马逊、雅虎等国外互联网公司当天采取紧急应对措施。中国的互联网公司均表示已加强了系统防范。奇虎360安全专家石晓虹建议,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号。
“可以让OpenSSL沦为一把废锁”
刚刚被曝光的这一漏洞,对互联网安全影响明显。
OpenSSL应用广泛,包括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,是Apache Web服务器的默认安全通信选项。目前在各大门户网站、电子邮件、网银、电商网站、在线支付等常用网站上,被广泛使用。OpenSSL在虚拟专用网络(VPN)技术中也被普遍使用。
安全专家介绍,此次漏洞的成因,可能是OpenSSL存在一个BUG,当攻击者构造一个特殊的数据包,满足一定条件后,会导致数据输出,该漏洞让攻击者可以远程读取数据,一次盗走64K的数据包。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
程序员Sean Cassidy打了个比方,OpenSSL就像互联网世界销量最大的门锁,Heartbleed则相当于让特定版本的OpenSSL,成为无需钥匙即可开启的废锁。
据介绍,入侵者每次可以翻检用户64K信息,只要他有足够的耐心和时间,还可以翻检足够多的数据,并以此拼凑出用户的银行密码、私信等敏感数据。
这个漏洞据称是安全公司Codenomicon及谷歌安全工程师共同发现的,他们把它递交给了相关管理机构。随后,官方发布了漏洞的修复方案。黑客社群为这个漏洞起了个形象的名字:Heartbleed。
据《华尔街日报》4月9日报道,Amazon Web Services、雅虎、Tumblr、GitHub、BitSight Technologies和密码管理公司LastPass等企业都表示,正在给OpenSSL软件打上最近发布的补丁。
《华尔街日报》还援引美国雅虎发言人的说法称,该公司团队已对雅虎的主要属性成功进行了适当的修正。微软发言人则称,该公司正密切关注有关OpenSSL安全漏洞的报道。谷歌的发言人说,该公司已对SSL的弱点进行了评估,并对关键服务发布了补丁程序。
目前尚未出现一起安全事故显示,网络攻击者能否利用Heartbleed漏洞进入企业内网或盗取数据。
中国公司紧急应对
中国的互联网公司同样做出快速反应。
腾讯公司称,已在第一时间对OpenSSL某些存在基础协议通用漏洞的版本,进行了修复处理,目前已经处理完毕,包括邮箱、财付通、QQ、微信等产品。
阿里巴巴亦称,旗下淘宝、天猫、支付宝等都可以放心使用。阿里小微金融服务集团(筹)首席风险官、阿里巴巴集团副总裁胡晓明对媒体介绍,4月8日晚间,技术团队通宵工作,已经完全修复了OpenSSL出现漏洞后的安全信息问题,没有发现任何问题。
百度钱包则发布声明称,“近日,OpenSSL漏洞已排山倒海向互联网安全界袭来,攻击者可持续读取服务器内存数据,窃取用户cookie、口令等敏感数据,已确定1.0.1-1.0.1f,1.0.2beta1版本均在此列。百度钱包在这次风暴中未受影响,请大家继续安心使用。”
京东商城方面昨日称,已对系统全面排查并升级,目前不建议用户修改密码。
石晓虹介绍,目前国内使用https的网站,都是跟支付和敏感用户数据相关的。据他了解,昨日下午,大量网站已开始紧急修复这一高危漏洞,耗时普遍在半小时到一小时,大型网站修复时间会更长。
他提醒互联网服务商,尽快将OpenSSL升级至1.0.1g进行修复。
也有安全问题研究人员认为,仅仅对OpenSSL软件打补丁还不能奏效。Venafi公司的赫德森对《华尔街日报》说,人们尚未认识到,除非更改所有密钥和证书,否则仍然很容易受到攻击。他表示,一家大型跨国公司或许需要更改数以万计的证书(即电子信息上的附件,用于安全目的)和密钥。
而且,由于这一漏洞已经存在了很长时间,人们并不清楚它是否早已被黑客发现并加以利用。
录入编辑:李琪