漏洞当安全协议不安全了-OpenSSL漏洞

当安全协议不安全了 :OpenSSL漏洞

昨天国外的黑客曝光 OpenSSL漏洞该漏洞可以获取 HTTPS服务器的随机 64K内存。这个漏洞被称为 heartbleed直译的话就是心脏出血。

AD

昨天早上大家还在讨论 XP停止服务的事到处是相关的新闻和文章到了下午到处都是OpenSSL的漏洞消息了。

OpenSSL与SSL安全协议

什么是SSL安全协议 我记得在10年我写过一篇简单介绍的文章 小谈SSL安全协议(fooying item2c4c407ee2acb1326cc37c74) 大家不凡可以看看 以前的文章大家就不要笑话了。SSL全称Secure Socket

Layer为Netscape所研发用以保障在Internet上数据传输之安全利用数据加密(Encryption)技术可确保数据在网络上之传输过程中不会被截取及窃听。简单的说就是加密传输的数据避免被截取监听等。

SSL应该是大家平时接触最多的安全协议了大家可以看访问一些网址的时候一般是开头就是采用了 SSL安全协议。 比如大家在登陆微信网页版的时候就可以看到

一般来说 比如 nginx可以通过以下方式就可以进行配置

# HTTPS server#server {l isten 443;server_name localhost;ssl on;ssl_certificateoptnginxsslkeyserver.crt;ssl_certificate_key optnginxsslkeyserver.key; location {roothomeworkspace; index index.aspindex.aspx;}}

大家可以看到监听的是 443端口然后通过 ssl on;来开启,同时通过 ssl_certificate 和sl_certificate_key配置证书和 key文件具体的玛瑙 mnwg.net就不多解释了大家可以自己搜索下。

那么证书和 key又是怎么一回事呢 ?接下来就要讲到 OpenSSL了。

进行过nginx编译的同学都知道在编译 nginx的时候如果想让 nginx支持开启 SSL那么必须加一个--with-http_ssl_module 的配置项。那么如何让服务器支持这个配置项呢 ?又如何生成nginx开发SSL中所需要的证书和key文件呢?都是源于OpenSSL。

OpenSSL是一个强大的安全套接字层密码库 Apache使用它加密HTTPS OpenSSH使用它加密SSH

但是你不应该只将其作为一个库来使用它还是一个多用途的、跨平台的密码工具。

大家平时如果采用公私钥的方式阿里山高山茶eupai .net连接服务器也是需要用到OpenSSL的。简单的理解 OpenSSL是一个强大的支持库更是一个强大的密码工具。虽然要支持SSL协议不一定得采用OpenSSL但是基本大部分的都是采用OpenSSL。

心脏出血的OpenSSL

相信前面简单的介绍能让大家了解到 OpenSSL的重要性也明白了 SSL协议是做什么的 那么大家应该就可以理解本来采用 SSL协议是为了数据传输的安全性是为了更安全但是OpenSSL的漏洞直接导致了本该是让为了更安全的设置变成了致命的危险。

简单介绍下漏洞这个漏洞是昨天国外的黑客曝光的该漏洞可以获取 HTTP S服务器的随机64K内存。这个漏洞被称为 heartbleed直译的话就是心脏出血。可能有部分同学没意识到这个64K有啥用错读取内存又有啥用 ?

贴几张图

这是笔者利用 poc进行的一些测试 (测试poc ssltest.py直接pyt ho nssltest.pydoma i n就可以了)大家可以看到 cookie设置是明文帐号密码都直接爆出来了有的还有代码源码 (这个忘记截图了。 。 )、 SSL私钥(这个笔者没测试出来 )等那么影响有多大呢 ?看下wooyun的漏洞提交列表

再给个来自 zoo meye()的统计数据

全国443端口 1601250有33303个受本次 OpenSSL漏洞影响

看了这些成为 心脏出血 完全不为过。今天估计又有许多运维同学可忙的了。具体的漏洞分析我也不多说了大家可以看 wooyun上的文章(papers1381)

安全防范

说了这么多可能有些同学觉得都不要去访问那些是 https的网站了其实也大可不必官方其实已经放出补丁了修复方法

升级到最新版本 OpenSSL1 .0.1g

无法立即升级的用户可以以段落 DOPENSSL_NO_HEARTBEATS 开关重新编译 OpenSSL

1 .0.2-beta版本的漏洞将在 beta2版本修复

对于个人用户的话大家不用太担心虽然说影响有点大不过像那些大网站 比如微信、淘宝等都已经修复了实在不放心大家可以今晚暂时不要访问就是了不过我觉得没必要不要像上次携程的事件一样搞的过爆了。另外提供个在线检测的工具给大家 Heartbleed结语

剩下的就不多说了首先给那些连夜处理的运维和安全工作人员道声辛苦了。现在大家对安全越来越重视这是好事但是我觉得还是不要人云亦云剩下的就是大家上网多小心些 !【编辑推荐】

网管员必读—超级网管经验谈第 2版