如果您是一直认为开源加密技术是最安全的在线交流方式的人之一,那么您一定会感到惊讶。
本周, Google安全团队成员Neel Mehta告诉OpenSSL开发团队,OpenSSL的“心跳"功能存在漏洞。 Google与安全公司Codenomicon合作尝试破解其自己的服务器时发现了该错误。在Google发出通知之后,OpenSSL团队于4月7日发布了自己的安全公告以及针对该漏洞的紧急补丁。
该漏洞已被安全分析人员称为“ Heartbleed"。
获得密钥后,黑客便可以解密通信并捕获敏感信息,例如密码,信用卡号等。获取那些敏感密钥的唯一要求是消耗服务器中足够长的加密数据以捕获密钥。该攻击是无法检测和跟踪的。
OpenSSL心跳错误
此安全漏洞带来的后果是巨大的。 OpenSSL于2011年12月首次成立,并迅速成为互联网上各公司和组织用于加密敏感信息和通信的加密库。这是Apache Web服务器使用的加密方法,Internet上几乎所有网站的构建都是基于Apache网络服务器的。
根据OpenSSL团队的说法,安全漏洞来自软件漏洞。
“在处理TLS心跳扩展时缺少边界检查可用于向连接的客户端或服务器显示多达64k的内存。 OpenSSL仅1.0.1和1.0.2-beta版本受到影响,包括1.0.1f和1.0.2-beta1。"
由于亚当(Adam),黑客获取秘密密钥的可能性仍然存在疑问谷歌安全专家兰利(Langley)在他的Twitter流中发布,他自己的测试没有发现像秘密加密密钥那么敏感的东西。
在4月7日发布的安全建议中,OpenSSL团队建议立即进行升级,以及无法升级的服务器管理员的替代修补程序。
“受影响的用户应升级到OpenSSL 1.0.1g。无法立即升级的用户可以使用-DOPENSSL_NO_HEARTBEATS重新编译OpenSSL。 1.0.2将在1.0.2-beta2中修复。"
由于在过去两年中OpenSSL在整个Internet上的泛滥,Google宣布导致即将发生的攻击的可能性非常高。但是,可以通过尽可能多的服务器管理员和安全经理将其公司系统尽快升级到OpenSSL 1.0.1g来减轻这些攻击的影响。
来源:OpenSSL <
