OpenSSL是一個開放源碼網路傳輸加密函式庫,使用相當廣泛,連全球佔Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。Heartbleed臭蟲已存在2年以上,受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內含OpenSSL的作業系統受到影響。OpenSSL並已同時釋出OpenSSL 1.0.1g修補該漏洞。
文/林妍溱 | 2014-04-09發表
OpenSSL周二(4/8)發佈緊急安全修補公告,公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞。
研究人員指出,Heartbleed臭蟲已存在2年以上,受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內含OpenSSL的作業系統受到影響,包括Debian Wheezy,Ubuntu 12.04.4 LTS,CentOS 6.5、Fedora 18、OpenBSD 5.3及 5.4 、FreeBSD 10.0 以上及NetBSD 5.0.2。OpenSSL並已同時釋出OpenSSL 1.0.1g修補該漏洞。
OpenSSL是一個開放源碼網路傳輸加密函式庫,使用相當廣泛,連全球佔Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。這項漏洞是由安全公司Codenomicon及Google安全部門的Neel Mehta發現。
由於這個漏洞存在OpenSSL的TLS/DTLS 傳輸安全層的heartbeat(心跳)擴充功能之中,該漏洞受到攻擊時會造成記憶體內容的外洩,可能從伺服器端外洩到客戶端,或者由客戶端外洩到伺服器端,因此研究人員將它命名為Heartbleed(心在淌血) 臭蟲(Heartbleed bug)。這個漏洞並不是SSL/TLS協定的問題,而是OpenSSL函式庫的程式錯誤。
Codenomicon人員解釋,Heartbleed臭蟲可能讓網路上任何人讀取到由OpenSSL防護的系統記憶體,進而獲得辨識服務供應商或加密網路流量的密鑰,或是使用者的帳號密碼及實際內容。攻擊者可藉此竊取服務或身份驗證內容,並且假冒服務或使用者身份。
研究人員實地測試發現,Heartbleed臭蟲可讓他們無需權限資料就可以取得自己的x.509加密金鑰、用戶帳號、即時通訊、email及公司重要文件及通訊內容,而且完全不留任何痕跡。因此即使公司系統曾經遭到入侵,管理員可能也無從得知。(編譯/林妍溱)
資料來源:iThome
科技報報/Heartbleed漏洞 恐令伺服器洩密
NOWnews.com 今日新聞網
2014年 04月 09日 20:50
據專家透露,運行特定版本OpenSSL的web伺服器均存在一個名為「Heartbleed」的漏洞,駭客利用此漏洞可盜走網站用於加密在線交易和web連接的密鑰,並導致用戶在進行搜索或郵箱登錄時個人資訊被洩露。
大陸新聞中心/綜合報導
據專家透露,運行特定版本OpenSSL的web伺服器均存在一個名為『Heartbleed』的漏洞,駭客利用此漏洞可盜走網站用於加密在線交易和web連接的密鑰,並導致用戶在進行搜索或郵箱登錄時個人資訊被洩露。
根據36氪報導,SSL(安全套接層)協定是使用最為普遍網站加密技術,而OpenSSL則是開源的SSL套件,為全球成千上萬的web伺服器所使用。Web伺服器正是通過它來將密鑰發送給訪客然後在雙方的連接之間對資訊進行加密。URL中使用https打頭的連接都採用了SSL加密技術。在線購物、網銀等活動均採用SSL技術來防止竊密及避免中間人攻擊。
Heartbleed漏洞之所以得名,是因為用於安全傳輸層協定(TLS)及資料包傳輸層安全協定(DTLS)的Heartbeat擴展存在漏洞。Heartbeat擴展為TLS/DTLS提供了一種新的簡便的連接保持方式,但由於OpenSSL 1.0.2-beta與OpenSSL 1.0.1在處理TLS heartbeat擴展時的邊界錯誤,攻擊者可以利用漏洞披露連接的客戶端或伺服器的存儲器內容,導致攻擊者不僅可以讀取其中機密的加密資料,還能盜走用於加密的密鑰。
據估計受影響的伺服器數量可能多達幾十萬。其中已被確認受影響的網站包括Imgur、OKCupid、Eventbrite以及FBI網站等,不過Google未受影響。
此外,漏洞還可能導致用戶資訊的洩露。比方說黑客已經可以利用此漏洞通過查看最近訪問受影響伺服器的用戶的cookie來獲取其個人資訊。已有開發者報告說發現可利用此漏洞查看到以保護用戶隱私出名的搜素引擎DuckDuckGo上的用戶搜索記錄,Yahoo也被發現存在此漏洞導致用戶憑證的洩露。
該漏洞2011年就已經被引入,但直到最近才被人發現。受影響伺服器必須給自己的OpenSSL打上補丁,同時還需要更改密鑰才能避免進一步受到影響。專家建議,為了免受此漏洞影響,用戶最安全的應對措施是最近幾天都不要參與敏感的網上活動,如購物、使用網銀等。
關鍵字: 花生網 漏洞 駭客 伺服器 科技 Heartbleed SSL 科技報報 洩密
--------------
沒有留言:
張貼留言