漏洞当安全协议不安全了-OpenSSL漏洞

openssl  时间:2021-02-26  阅读:()

当安全协议不安全了 :OpenSSL漏洞

昨天国外的黑客曝光 OpenSSL漏洞该漏洞可以获取 HTTPS服务器的随机 64K内存。这个漏洞被称为 heartbleed直译的话就是心脏出血。

AD

昨天早上大家还在讨论 XP停止服务的事到处是相关的新闻和文章到了下午到处都是OpenSSL的漏洞消息了。

OpenSSL与SSL安全协议

什么是SSL安全协议 我记得在10年我写过一篇简单介绍的文章 小谈SSL安全协议(fooying item2c4c407ee2acb1326cc37c74) 大家不凡可以看看 以前的文章大家就不要笑话了。SSL全称Secure Socket

Layer为Netscape所研发用以保障在Internet上数据传输之安全利用数据加密(Encryption)技术可确保数据在网络上之传输过程中不会被截取及窃听。简单的说就是加密传输的数据避免被截取监听等。

SSL应该是大家平时接触最多的安全协议了大家可以看访问一些网址的时候一般是开头就是采用了 SSL安全协议。 比如大家在登陆微信网页版的时候就可以看到

一般来说 比如 nginx可以通过以下方式就可以进行配置

# HTTPS server#server {l isten 443;server_name localhost;ssl on;ssl_certificateoptnginxsslkeyserver.crt;ssl_certificate_key optnginxsslkeyserver.key; location {roothomeworkspace; index index.aspindex.aspx;}}

大家可以看到监听的是 443端口然后通过 ssl on;来开启,同时通过 ssl_certificate 和sl_certificate_key配置证书和 key文件具体的玛瑙 mnwg.net就不多解释了大家可以自己搜索下。

那么证书和 key又是怎么一回事呢 ?接下来就要讲到 OpenSSL了。

进行过nginx编译的同学都知道在编译 nginx的时候如果想让 nginx支持开启 SSL那么必须加一个--with-http_ssl_module 的配置项。那么如何让服务器支持这个配置项呢 ?又如何生成nginx开发SSL中所需要的证书和key文件呢?都是源于OpenSSL。

OpenSSL是一个强大的安全套接字层密码库 Apache使用它加密HTTPS OpenSSH使用它加密SSH

但是你不应该只将其作为一个库来使用它还是一个多用途的、跨平台的密码工具。

大家平时如果采用公私钥的方式阿里山高山茶eupai .net连接服务器也是需要用到OpenSSL的。简单的理解 OpenSSL是一个强大的支持库更是一个强大的密码工具。虽然要支持SSL协议不一定得采用OpenSSL但是基本大部分的都是采用OpenSSL。

心脏出血的OpenSSL

相信前面简单的介绍能让大家了解到 OpenSSL的重要性也明白了 SSL协议是做什么的 那么大家应该就可以理解本来采用 SSL协议是为了数据传输的安全性是为了更安全但是OpenSSL的漏洞直接导致了本该是让为了更安全的设置变成了致命的危险。

简单介绍下漏洞这个漏洞是昨天国外的黑客曝光的该漏洞可以获取 HTTP S服务器的随机64K内存。这个漏洞被称为 heartbleed直译的话就是心脏出血。可能有部分同学没意识到这个64K有啥用错读取内存又有啥用 ?

贴几张图

这是笔者利用 poc进行的一些测试 (测试poc ssltest.py直接pyt ho nssltest.pydoma i n就可以了)大家可以看到 cookie设置是明文帐号密码都直接爆出来了有的还有代码源码 (这个忘记截图了。 。 )、 SSL私钥(这个笔者没测试出来 )等那么影响有多大呢 ?看下wooyun的漏洞提交列表

再给个来自 zoo meye()的统计数据

全国443端口 1601250有33303个受本次 OpenSSL漏洞影响

看了这些成为 心脏出血 完全不为过。今天估计又有许多运维同学可忙的了。具体的漏洞分析我也不多说了大家可以看 wooyun上的文章(papers1381)

安全防范

说了这么多可能有些同学觉得都不要去访问那些是 https的网站了其实也大可不必官方其实已经放出补丁了修复方法

升级到最新版本 OpenSSL1 .0.1g

无法立即升级的用户可以以段落 DOPENSSL_NO_HEARTBEATS 开关重新编译 OpenSSL

1 .0.2-beta版本的漏洞将在 beta2版本修复

对于个人用户的话大家不用太担心虽然说影响有点大不过像那些大网站 比如微信、淘宝等都已经修复了实在不放心大家可以今晚暂时不要访问就是了不过我觉得没必要不要像上次携程的事件一样搞的过爆了。另外提供个在线检测的工具给大家 Heartbleed结语

剩下的就不多说了首先给那些连夜处理的运维和安全工作人员道声辛苦了。现在大家对安全越来越重视这是好事但是我觉得还是不要人云亦云剩下的就是大家上网多小心些 !【编辑推荐】

网管员必读—超级网管经验谈第 2版

819云互联(800元/月),香港BGP E5 2650 16G,日本 E5 2650 16G

819云互联 在本月发布了一个购买香港,日本独立服务器的活动,相对之前的首月活动性价比更高,最多只能享受1个月的活动 续费价格恢复原价 是有些颇高 这次819云互联与机房是合作伙伴 本次拿到机房 活动7天内购买独立服务器后期的长期续费价格 加大力度 确实来说这次的就可以买年付或者更长时间了…本次是5个机房可供选择,独立服务器最低默认是50M带宽,不限制流量,。官网:https://ww...

稳爱云(26元),香港云服务器 1核 1G 10M带宽

稳爱云(www.wenaiyun.com)是创建于2021年的国人IDC商家,主要目前要出售香港VPS、香港独立服务器、美国高防VPS、美国CERA VPS 等目前在售VPS线路有三网CN2、CN2 GIA,该公司旗下产品均采用KVM虚拟化架构。机房采用业内口碑最好香港沙田机房,稳定,好用,数据安全。线路采用三网(电信,联通,移动)回程电信cn2、cn2 gia优质网络,延迟低,速度快。自行封装的...

六一云互联(41元)美国(24元)/香港/湖北/免费CDN/免费VPS

六一云互联六一云互联为西安六一网络科技有限公司的旗下产品。是一个正规持有IDC/ISP/CDN的国内公司,成立于2018年,主要销售海外高防高速大带宽云服务器/CDN,并以高质量.稳定性.售后相应快.支持退款等特点受很多用户的支持!近期公司也推出了很多给力的抽奖和折扣活动如:新用户免费抽奖,最大可获得500元,湖北新购六折续费八折折上折,全场八折等等最新活动:1.湖北100G高防:新购六折续费八折...

openssl为你推荐
网络明星哪个知道这个网络明星叫什么?iphone5解锁苹果5忘了锁屏密码怎么解锁密码如何免费开通黄钻如何免费开通黄钻??深圳公交车路线深圳公交线路云播怎么看片手机云播怎么用?arm开发板ARM开发板具体有什么作用?有什么商业价值?数码资源网手机练习打字的软件开机滚动条电脑开机启动滚动条时间长怎么办?保护气球气球保护液可以用什么来代替?二层交换机什么是二层交换机和三层交换机???
如何申请域名 双线主机租用 域名服务器上存放着internet主机的 新加坡服务器 双11抢红包攻略 tk域名 最好看的qq空间 ca4249 免费网站申请 服务器维护方案 nerds 泉州移动 免费活动 丽萨 中国电信网络测速 rewritecond 闪讯网 wordpress空间 酷锐 hosting24 更多