漏洞当安全协议不安全了-OpenSSL漏洞

openssl  时间:2021-02-26  阅读:()

当安全协议不安全了 :OpenSSL漏洞

昨天国外的黑客曝光 OpenSSL漏洞该漏洞可以获取 HTTPS服务器的随机 64K内存。这个漏洞被称为 heartbleed直译的话就是心脏出血。

AD

昨天早上大家还在讨论 XP停止服务的事到处是相关的新闻和文章到了下午到处都是OpenSSL的漏洞消息了。

OpenSSL与SSL安全协议

什么是SSL安全协议 我记得在10年我写过一篇简单介绍的文章 小谈SSL安全协议(fooying item2c4c407ee2acb1326cc37c74) 大家不凡可以看看 以前的文章大家就不要笑话了。SSL全称Secure Socket

Layer为Netscape所研发用以保障在Internet上数据传输之安全利用数据加密(Encryption)技术可确保数据在网络上之传输过程中不会被截取及窃听。简单的说就是加密传输的数据避免被截取监听等。

SSL应该是大家平时接触最多的安全协议了大家可以看访问一些网址的时候一般是开头就是采用了 SSL安全协议。 比如大家在登陆微信网页版的时候就可以看到

一般来说 比如 nginx可以通过以下方式就可以进行配置

# HTTPS server#server {l isten 443;server_name localhost;ssl on;ssl_certificateoptnginxsslkeyserver.crt;ssl_certificate_key optnginxsslkeyserver.key; location {roothomeworkspace; index index.aspindex.aspx;}}

大家可以看到监听的是 443端口然后通过 ssl on;来开启,同时通过 ssl_certificate 和sl_certificate_key配置证书和 key文件具体的玛瑙 mnwg.net就不多解释了大家可以自己搜索下。

那么证书和 key又是怎么一回事呢 ?接下来就要讲到 OpenSSL了。

进行过nginx编译的同学都知道在编译 nginx的时候如果想让 nginx支持开启 SSL那么必须加一个--with-http_ssl_module 的配置项。那么如何让服务器支持这个配置项呢 ?又如何生成nginx开发SSL中所需要的证书和key文件呢?都是源于OpenSSL。

OpenSSL是一个强大的安全套接字层密码库 Apache使用它加密HTTPS OpenSSH使用它加密SSH

但是你不应该只将其作为一个库来使用它还是一个多用途的、跨平台的密码工具。

大家平时如果采用公私钥的方式阿里山高山茶eupai .net连接服务器也是需要用到OpenSSL的。简单的理解 OpenSSL是一个强大的支持库更是一个强大的密码工具。虽然要支持SSL协议不一定得采用OpenSSL但是基本大部分的都是采用OpenSSL。

心脏出血的OpenSSL

相信前面简单的介绍能让大家了解到 OpenSSL的重要性也明白了 SSL协议是做什么的 那么大家应该就可以理解本来采用 SSL协议是为了数据传输的安全性是为了更安全但是OpenSSL的漏洞直接导致了本该是让为了更安全的设置变成了致命的危险。

简单介绍下漏洞这个漏洞是昨天国外的黑客曝光的该漏洞可以获取 HTTP S服务器的随机64K内存。这个漏洞被称为 heartbleed直译的话就是心脏出血。可能有部分同学没意识到这个64K有啥用错读取内存又有啥用 ?

贴几张图

这是笔者利用 poc进行的一些测试 (测试poc ssltest.py直接pyt ho nssltest.pydoma i n就可以了)大家可以看到 cookie设置是明文帐号密码都直接爆出来了有的还有代码源码 (这个忘记截图了。 。 )、 SSL私钥(这个笔者没测试出来 )等那么影响有多大呢 ?看下wooyun的漏洞提交列表

再给个来自 zoo meye()的统计数据

全国443端口 1601250有33303个受本次 OpenSSL漏洞影响

看了这些成为 心脏出血 完全不为过。今天估计又有许多运维同学可忙的了。具体的漏洞分析我也不多说了大家可以看 wooyun上的文章(papers1381)

安全防范

说了这么多可能有些同学觉得都不要去访问那些是 https的网站了其实也大可不必官方其实已经放出补丁了修复方法

升级到最新版本 OpenSSL1 .0.1g

无法立即升级的用户可以以段落 DOPENSSL_NO_HEARTBEATS 开关重新编译 OpenSSL

1 .0.2-beta版本的漏洞将在 beta2版本修复

对于个人用户的话大家不用太担心虽然说影响有点大不过像那些大网站 比如微信、淘宝等都已经修复了实在不放心大家可以今晚暂时不要访问就是了不过我觉得没必要不要像上次携程的事件一样搞的过爆了。另外提供个在线检测的工具给大家 Heartbleed结语

剩下的就不多说了首先给那些连夜处理的运维和安全工作人员道声辛苦了。现在大家对安全越来越重视这是好事但是我觉得还是不要人云亦云剩下的就是大家上网多小心些 !【编辑推荐】

网管员必读—超级网管经验谈第 2版

A400互联37.8元/季,香港节点cn2,cmi线路云服务器,1核/1G/10M/300G

A400互联怎么样?A400互联是一家成立于2020年的商家,A400互联是云服务器网(yuntue.com)首次发布的云主机商家。本次A400互联给大家带来的是,全新上线的香港节点,cmi+cn2线路,全场香港产品7折优惠,优惠码0711,A400互联,只为给你提供更快,更稳,更实惠的套餐,香港节点上线cn2+cmi线路云服务器,37.8元/季/1H/1G/10M/300G,云上日子,你我共享。...

瓜云互联:全场9折优惠,香港CN2、洛杉矶GIA高防vps套餐,充值最高返300元

瓜云互联怎么样?瓜云互联之前商家使用的面板为WHMCS,目前商家已经正式更换到了魔方云的面板,瓜云互联商家主要提供中国香港和美国洛杉矶机房的套餐,香港采用CN2线路直连大陆,洛杉矶为高防vps套餐,三网回程CN2 GIA,提供超高的DDOS防御,瓜云互联商家承诺打死退款,目前商家提供了一个全场9折和充值的促销,有需要的朋友可以看看。点击进入:瓜云互联官方网站瓜云互联促销优惠:9折优惠码:联系在线客...

新注册NameCheap账户几天后无法登录原因及解决办法

中午的时候有网友联系提到自己前几天看到Namecheap商家开学季促销活动期间有域名促销活动的,于是就信注册NC账户注册域名的。但是今天登录居然无法登录,这个问题比较困恼是不是商家跑路等问题。Namecheap商家跑路的可能性不大,前几天我还在他们家转移域名的。这里简单的记录我帮助他解决如何重新登录Namecheap商家的问题。1、检查邮件让他检查邮件是不是有官方的邮件提示。比如我们新注册账户是需...

openssl为你推荐
u盘无法读取U盘无法被识别怎么办 U盘无法识别解决方法淘宝客推广淘宝客怎么推广http与https的区别http和https到底有什么区别啊???不兼容Google play 服务提示不兼容怎么办?办公协同软件协同企业办公的软件有哪些?直播加速手机上什么软件可以帮助直播加速,大神们推荐推荐开机滚动条电脑开机有滚动条的画面小米手柄小米手柄怎么用?网站优化方案网站优化方案应该从哪些方面去分析?blogcn怎样设置BLOGCN的访问密码
美国vps 拜登买域名批特朗普 plesk burstnet 息壤主机 koss 2017年黑色星期五 2017年万圣节 小米数据库 web服务器架设 asp免费空间申请 亚马逊香港官网 域名与空间 starry 电信宽带测速软件 cdn服务 杭州电信宽带 免备案jsp空间 ncp是什么 发证机构 更多