针对近期爆出的OpenSSL“心脏出血”漏洞,我公司对“实易智能DNS”系列产品进行检测评估,确认“实易智能DNS”系列产品不受“心脏出血”漏洞影响。
OpenSSL Heartbleed(“心脏出血”)漏洞于上周被曝光。OpenSSL协议广泛应用于网银、在线支付、电子邮件、电商等重要网站,由于该漏洞的存在,网民访问网站的cookies、SSL私钥、帐号密码等敏感数据,全都可能被黑客远程读取到。因此该漏洞一经曝光就引发了整个互联网的安全担忧,被业内称为2014年度最重大的安全漏洞之一。
下面是“金山毒霸”提供的在线免费检测:
http://fish.ijinshan.com/checkopenssl/
漏洞简介:
2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本的心跳包模块存在严重漏洞(CVE-2014-0160)。攻击者可以通过构造特殊的数据包,直接远程读取存在漏洞的OpenSSL服务器内存中多达64KB的数据,极有可能导致网站用户帐号密码等敏感数据被非法获取。漏洞发现者甚至声称可以直接获取到证书私钥和重要的商业文档。
漏洞影响:
国内大量使用HTTPS协议的网站相当一部分都存在此漏洞,其中不乏知名电子商务网站及提供关键服务(邮箱、社交等网站),此次曝光的漏洞非常严重,安全威胁不容小觑。
OpenSSL受影响和不受影响版本:
OpenSSL 1.0.1f(受影响)
OpenSSL 1.0.1g (不受影响)
OpenSSL 1.0.0 branch (不受影响)
OpenSSL 0.9.8 branch (不受影响)
什么是SSL?
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。
这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。
什么是“心脏出血”漏洞?
多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给攻击者。OpenSSL大约两年前就已经存在这一缺陷。
OpenSSL漏洞工作原理:
SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
该漏洞的影响大不大?
很大,因为有很多隐私信息都存储在服务器内存中。使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。
丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重:这是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。
