猎云网2014年4月10日报道 编辑:介错人
本月7日,OpenSSL爆出有望成为本年度最严重的高危漏洞,该漏洞目前在黑客社区被命名为“心脏出血”漏洞。黑客只需坐在电脑前,便可以通过向服务器发送数据包的方式,获得服务器内存中已经解密为明文用户加密数据。而这些数据往往就是很多用户登陆验证是所发送过来的用户名及密码信息。
4月7日凌晨,国内就已出现针对OpenSSL漏洞的黑客攻击迹象。360安全监测平台工程师不眠不休紧急应对。在国内120万家经过360经过认证授权的网站进行扫描,发现其中有11440个网站主机有手OpenSSL攻击的现象。而在4月7、8两日,共计约有2亿网友访问了存在OpenSSL漏洞的网站。因此这两亿用户目前都存在账户信息遭泄露的风险。
360第一时间向12万网站用户发送提醒文件,并联系广大站长提供技术支持,将OpenSSL升级至最新1.0.1g版本。
SSL是目前多数网站普遍采用的一种提供数据安全及完整性的一种安全协议。OpenSSL作为其中的开源免费版本,因为经过常年验证为安全的,因此也为广大网站所采用。因此OpenSSL可以近似地理解为:它是互联网上销量最大的门锁,并为各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。因此此次“心脏出血”漏洞让广大互联网的门锁形同虚设,通过每次发送数据包获取内存堆栈中的64K明文数据包。如果用户在存在该漏洞的网站登陆网银、购物、登陆收发电子邮件、登陆门户网站。那么黑客就可以从网站主机远程获取用户账号密码及Cookie信息。据360副总裁兼CPO谭晓生表示,该漏洞甚至有泄露用户私钥的可能。因此该漏洞比去年JAVA struct2漏洞影响还要广影响了所有行业,而该漏洞个存在了2年之久,直到最近才被外界所广泛熟知。因此该漏洞从何时开始被黑客所利用仍是未知数。
因为其覆盖范围广,而SSL涉及诸多网站的基础架构不易察觉,影响时间也会比较久远。因此有望成为今年的年度最严重高危漏洞。
经360监测,目前全球已有4千万服务器存在“心脏出血” ,而中国目前还有3万左右服务器存在该漏洞,已经波及全国约1.5-2亿用户。
360建议:企业立即升级到OpenSSL1.0.1g版本,用户在已经修复的网站立刻修改用户密码。为帮助用户避免相对风险,360网站卫士推出OpenSSL漏洞在线检查工具,同时开通了热线电话(4000366588),网站用户在升级和维护网站的过程中可随时拨打改电话寻求免费的技术支持。
目前,360网站卫士的SSL检测平台已经成功检测出北京大学和清华大学官网存在“心脏出血”漏洞。并对北京大学和清华大学做出及时预警,通知其进行修复。
截止发稿前,包括阿里巴巴、腾讯等多个大型互联网服务商通过官微宣布已成功修复该漏洞。360方面建议广大网友在此漏洞得到修复之前,暂时不要在受漏洞影响的网站上登陆账号。
