OpenSSL究竟為何物，為何它的影響力如此之大？

4月8日晚間，各大網(wǎng)站都在報道安全協(xié)議OpenSSL重大安全漏洞新聞。這個漏洞使攻擊者能夠從內存中讀取多達64 KB的數(shù)據(jù)。該漏洞被命名為“心臟出血”，雖然64KB數(shù)據(jù)量并不大，但黑客可以重復利用該漏洞、多次竊取數(shù)據(jù)，并可能因此獲得用戶的加密密鑰，解密敏感數(shù)據(jù)。那么OpenSSL究竟為何物，為何它的影響力如此之大？

OpenSSL是什么？

OpenSSL是為網(wǎng)絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議。

此次漏洞的成因是OpenSSL Heartbleed模塊存在一個BUG，當攻擊者構造一個特殊的數(shù)據(jù)包，滿足用戶心跳包中無法提供足夠多的數(shù)據(jù)會導致memcpy把SSLv3記錄之后 的數(shù)據(jù)直接輸出，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的OpenSSL服務器內存數(shù)據(jù)。

目前各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站都在使用。據(jù)悉，該漏洞是由安全公司Codenomicon和谷歌安全工程師獨立發(fā)現(xiàn)的。使用OpenSSL 1.0.1f的服務器將受影響，運維人員應該馬上升級。此外，1.0.1以前的版本不受此影響，但是1.0.2-beta仍需修復。

修復建議

• 使用低版本SSL的網(wǎng)站，并盡快按如下方案修復該漏洞；
• 升級OpenSSL 1.0.1g；
• 使用-DOPENSSL_NO_HEARTBEATS參數(shù)重新編譯低版本的OpenSSL以禁用Heartbleed模塊；

推薦查看：

• OpenSSL官網(wǎng)：https://www.openssl.org/
• 關于Open SSL漏洞分析：http://drops.wooyun.org/papers/1381
• Heartbleed解析：http://heartbleed.com/

截止到目前，大量網(wǎng)站都已修復OpenSSL高危漏洞。

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學習有所幫助,可以手機掃描二維碼進行捐贈