漏洞当安全协议不安全了-OpenSSL漏洞

openssl  时间:2021-02-26  阅读:()

当安全协议不安全了 :OpenSSL漏洞

昨天国外的黑客曝光 OpenSSL漏洞该漏洞可以获取 HTTPS服务器的随机 64K内存。这个漏洞被称为 heartbleed直译的话就是心脏出血。

AD

昨天早上大家还在讨论 XP停止服务的事到处是相关的新闻和文章到了下午到处都是OpenSSL的漏洞消息了。

OpenSSL与SSL安全协议

什么是SSL安全协议 我记得在10年我写过一篇简单介绍的文章 小谈SSL安全协议(fooying item2c4c407ee2acb1326cc37c74) 大家不凡可以看看 以前的文章大家就不要笑话了。SSL全称Secure Socket

Layer为Netscape所研发用以保障在Internet上数据传输之安全利用数据加密(Encryption)技术可确保数据在网络上之传输过程中不会被截取及窃听。简单的说就是加密传输的数据避免被截取监听等。

SSL应该是大家平时接触最多的安全协议了大家可以看访问一些网址的时候一般是开头就是采用了 SSL安全协议。 比如大家在登陆微信网页版的时候就可以看到

一般来说 比如 nginx可以通过以下方式就可以进行配置

# HTTPS server#server {l isten 443;server_name localhost;ssl on;ssl_certificateoptnginxsslkeyserver.crt;ssl_certificate_key optnginxsslkeyserver.key; location {roothomeworkspace; index index.aspindex.aspx;}}

大家可以看到监听的是 443端口然后通过 ssl on;来开启,同时通过 ssl_certificate 和sl_certificate_key配置证书和 key文件具体的玛瑙 mnwg.net就不多解释了大家可以自己搜索下。

那么证书和 key又是怎么一回事呢 ?接下来就要讲到 OpenSSL了。

进行过nginx编译的同学都知道在编译 nginx的时候如果想让 nginx支持开启 SSL那么必须加一个--with-http_ssl_module 的配置项。那么如何让服务器支持这个配置项呢 ?又如何生成nginx开发SSL中所需要的证书和key文件呢?都是源于OpenSSL。

OpenSSL是一个强大的安全套接字层密码库 Apache使用它加密HTTPS OpenSSH使用它加密SSH

但是你不应该只将其作为一个库来使用它还是一个多用途的、跨平台的密码工具。

大家平时如果采用公私钥的方式阿里山高山茶eupai .net连接服务器也是需要用到OpenSSL的。简单的理解 OpenSSL是一个强大的支持库更是一个强大的密码工具。虽然要支持SSL协议不一定得采用OpenSSL但是基本大部分的都是采用OpenSSL。

心脏出血的OpenSSL

相信前面简单的介绍能让大家了解到 OpenSSL的重要性也明白了 SSL协议是做什么的 那么大家应该就可以理解本来采用 SSL协议是为了数据传输的安全性是为了更安全但是OpenSSL的漏洞直接导致了本该是让为了更安全的设置变成了致命的危险。

简单介绍下漏洞这个漏洞是昨天国外的黑客曝光的该漏洞可以获取 HTTP S服务器的随机64K内存。这个漏洞被称为 heartbleed直译的话就是心脏出血。可能有部分同学没意识到这个64K有啥用错读取内存又有啥用 ?

贴几张图

这是笔者利用 poc进行的一些测试 (测试poc ssltest.py直接pyt ho nssltest.pydoma i n就可以了)大家可以看到 cookie设置是明文帐号密码都直接爆出来了有的还有代码源码 (这个忘记截图了。 。 )、 SSL私钥(这个笔者没测试出来 )等那么影响有多大呢 ?看下wooyun的漏洞提交列表

再给个来自 zoo meye()的统计数据

全国443端口 1601250有33303个受本次 OpenSSL漏洞影响

看了这些成为 心脏出血 完全不为过。今天估计又有许多运维同学可忙的了。具体的漏洞分析我也不多说了大家可以看 wooyun上的文章(papers1381)

安全防范

说了这么多可能有些同学觉得都不要去访问那些是 https的网站了其实也大可不必官方其实已经放出补丁了修复方法

升级到最新版本 OpenSSL1 .0.1g

无法立即升级的用户可以以段落 DOPENSSL_NO_HEARTBEATS 开关重新编译 OpenSSL

1 .0.2-beta版本的漏洞将在 beta2版本修复

对于个人用户的话大家不用太担心虽然说影响有点大不过像那些大网站 比如微信、淘宝等都已经修复了实在不放心大家可以今晚暂时不要访问就是了不过我觉得没必要不要像上次携程的事件一样搞的过爆了。另外提供个在线检测的工具给大家 Heartbleed结语

剩下的就不多说了首先给那些连夜处理的运维和安全工作人员道声辛苦了。现在大家对安全越来越重视这是好事但是我觉得还是不要人云亦云剩下的就是大家上网多小心些 !【编辑推荐】

网管员必读—超级网管经验谈第 2版

Raksmart VPS主机如何设置取消自动续费

今天有看到Raksmart账户中有一台VPS主机即将到期,这台机器之前是用来测试评测使用的。这里有不打算续费,这不面对万一导致被自动续费忘记,所以我还是取消自动续费设置。如果我们也有类似的问题,这里就演示截图设置Raksmart取消自动续费。这里我们可以看到上图,在对应VPS主机的【其余操作】中可以看到默认已经是不自动续费,所以我们也不要担心被自动续费的。当然,如果有被自动续费,我们确实不想续费的...

UCloud云服务器低至年59元

最近我们是不是在讨论较多的是关于K12教育的问题,培训机构由于资本的介入确实让家长更为焦虑,对于这样的整改我们还是很支持的。实际上,在云服务器市场中,我们也看到内卷和资本的力量,各大云服务商竞争也是相当激烈,更不用说个人和小公司服务商日子确实不好过。今天有看到UCloud发布的夏季促销活动,直接提前和双十一保价挂钩。这就是说,人家直接在暑假的时候就上线双十一的活动。早年的双十一活动会提前一周到十天...

RangCloud19.8元/月,香港cn2云主机,美国西雅图高防云主机28元/月起

rangcloud怎么样?rangcloud是去年年初开办的国人商家,RangCloud是一家以销售NAT起步,后续逐渐开始拓展到VPS及云主机业务,目前有中国香港、美国西雅图、韩国NAT、广州移动、江门移动、镇江BGP、山东联通、山东BGP等机房。目前,RangCloud提供香港CN2线路云服务器,电信走CN2、联通移动直连,云主机采用PCle固态硬盘,19.8元/月起,支持建站使用;美国高防云...

openssl为你推荐
自助建站自助建站可信吗?arm开发板ARM开发板具体有什么作用?有什么商业价值?网店推广网站什么平台适合做淘宝店铺推广网店推广网站可以介绍几个可以做店铺推广的网站吗?保护气球什么气球可以骑?iphone6上市时间苹果6什么时候出?多少钱微信电话本怎么用如何启用微信通讯录freebsd安装虚拟机vmware7的安装和FreeBSD的安装黑龙江计算机等级考试网计算机2级考试成绩怎么查?msn与qqMSN与QQ的区别?
上海虚拟主机 企业域名备案 踢楼 idc测评网 60g硬盘 长沙服务器 架设服务器 域名转接 双线主机 刀片式服务器 yundun 路由跟踪 服务器论坛 酸酸乳 asp空间 电信主机托管 tracker服务器 ipower 免费免备案cdn web服务器软件 更多