当安全协议不安全了 :OpenSSL漏洞
昨天国外的黑客曝光 OpenSSL漏洞该漏洞可以获取 HTTPS服务器的随机 64K内存。这个漏洞被称为 heartbleed直译的话就是心脏出血。
AD
昨天早上大家还在讨论 XP停止服务的事到处是相关的新闻和文章到了下午到处都是OpenSSL的漏洞消息了。
OpenSSL与SSL安全协议
什么是SSL安全协议 我记得在10年我写过一篇简单介绍的文章 小谈SSL安全协议(fooying item2c4c407ee2acb1326cc37c74) 大家不凡可以看看 以前的文章大家就不要笑话了。SSL全称Secure Socket
Layer为Netscape所研发用以保障在Internet上数据传输之安全利用数据加密(Encryption)技术可确保数据在网络上之传输过程中不会被截取及窃听。简单的说就是加密传输的数据避免被截取监听等。
SSL应该是大家平时接触最多的安全协议了大家可以看访问一些网址的时候一般是开头就是采用了 SSL安全协议。 比如大家在登陆微信网页版的时候就可以看到
一般来说 比如 nginx可以通过以下方式就可以进行配置
# HTTPS server#server {l isten 443;server_name localhost;ssl on;ssl_certificateoptnginxsslkeyserver.crt;ssl_certificate_key optnginxsslkeyserver.key; location {roothomeworkspace; index index.aspindex.aspx;}}
大家可以看到监听的是 443端口然后通过 ssl on;来开启,同时通过 ssl_certificate 和sl_certificate_key配置证书和 key文件具体的玛瑙 mnwg.net就不多解释了大家可以自己搜索下。
那么证书和 key又是怎么一回事呢 ?接下来就要讲到 OpenSSL了。
进行过nginx编译的同学都知道在编译 nginx的时候如果想让 nginx支持开启 SSL那么必须加一个--with-http_ssl_module 的配置项。那么如何让服务器支持这个配置项呢 ?又如何生成nginx开发SSL中所需要的证书和key文件呢?都是源于OpenSSL。
OpenSSL是一个强大的安全套接字层密码库 Apache使用它加密HTTPS OpenSSH使用它加密SSH
但是你不应该只将其作为一个库来使用它还是一个多用途的、跨平台的密码工具。
大家平时如果采用公私钥的方式阿里山高山茶eupai .net连接服务器也是需要用到OpenSSL的。简单的理解 OpenSSL是一个强大的支持库更是一个强大的密码工具。虽然要支持SSL协议不一定得采用OpenSSL但是基本大部分的都是采用OpenSSL。
心脏出血的OpenSSL
相信前面简单的介绍能让大家了解到 OpenSSL的重要性也明白了 SSL协议是做什么的 那么大家应该就可以理解本来采用 SSL协议是为了数据传输的安全性是为了更安全但是OpenSSL的漏洞直接导致了本该是让为了更安全的设置变成了致命的危险。
简单介绍下漏洞这个漏洞是昨天国外的黑客曝光的该漏洞可以获取 HTTP S服务器的随机64K内存。这个漏洞被称为 heartbleed直译的话就是心脏出血。可能有部分同学没意识到这个64K有啥用错读取内存又有啥用 ?
贴几张图
这是笔者利用 poc进行的一些测试 (测试poc ssltest.py直接pyt ho nssltest.pydoma i n就可以了)大家可以看到 cookie设置是明文帐号密码都直接爆出来了有的还有代码源码 (这个忘记截图了。 。 )、 SSL私钥(这个笔者没测试出来 )等那么影响有多大呢 ?看下wooyun的漏洞提交列表
再给个来自 zoo meye()的统计数据
全国443端口 1601250有33303个受本次 OpenSSL漏洞影响
看了这些成为 心脏出血 完全不为过。今天估计又有许多运维同学可忙的了。具体的漏洞分析我也不多说了大家可以看 wooyun上的文章(papers1381)
安全防范
说了这么多可能有些同学觉得都不要去访问那些是 https的网站了其实也大可不必官方其实已经放出补丁了修复方法
升级到最新版本 OpenSSL1 .0.1g
无法立即升级的用户可以以段落 DOPENSSL_NO_HEARTBEATS 开关重新编译 OpenSSL
1 .0.2-beta版本的漏洞将在 beta2版本修复
对于个人用户的话大家不用太担心虽然说影响有点大不过像那些大网站 比如微信、淘宝等都已经修复了实在不放心大家可以今晚暂时不要访问就是了不过我觉得没必要不要像上次携程的事件一样搞的过爆了。另外提供个在线检测的工具给大家 Heartbleed结语
剩下的就不多说了首先给那些连夜处理的运维和安全工作人员道声辛苦了。现在大家对安全越来越重视这是好事但是我觉得还是不要人云亦云剩下的就是大家上网多小心些 !【编辑推荐】
网管员必读—超级网管经验谈第 2版
今天有看到Raksmart账户中有一台VPS主机即将到期,这台机器之前是用来测试评测使用的。这里有不打算续费,这不面对万一导致被自动续费忘记,所以我还是取消自动续费设置。如果我们也有类似的问题,这里就演示截图设置Raksmart取消自动续费。这里我们可以看到上图,在对应VPS主机的【其余操作】中可以看到默认已经是不自动续费,所以我们也不要担心被自动续费的。当然,如果有被自动续费,我们确实不想续费的...
最近我们是不是在讨论较多的是关于K12教育的问题,培训机构由于资本的介入确实让家长更为焦虑,对于这样的整改我们还是很支持的。实际上,在云服务器市场中,我们也看到内卷和资本的力量,各大云服务商竞争也是相当激烈,更不用说个人和小公司服务商日子确实不好过。今天有看到UCloud发布的夏季促销活动,直接提前和双十一保价挂钩。这就是说,人家直接在暑假的时候就上线双十一的活动。早年的双十一活动会提前一周到十天...
rangcloud怎么样?rangcloud是去年年初开办的国人商家,RangCloud是一家以销售NAT起步,后续逐渐开始拓展到VPS及云主机业务,目前有中国香港、美国西雅图、韩国NAT、广州移动、江门移动、镇江BGP、山东联通、山东BGP等机房。目前,RangCloud提供香港CN2线路云服务器,电信走CN2、联通移动直连,云主机采用PCle固态硬盘,19.8元/月起,支持建站使用;美国高防云...