近日網絡安全界談論的影響安全最大的問題就是Heartbleed漏洞，該漏洞是4月7號國外黑客曝光的。據Vox網站介紹，來自Codenomicon和谷歌安全部門的研究人員，發現OpenSSL的源代碼中存在一個漏洞，可以讓攻擊者獲得服務器上64K內存中的數據內容。該漏洞在國內被譯為” OpenSSL心臟出血漏洞”，因其破壞性之大和影響的范圍之廣，堪稱網絡安全里程碑事件。

OpenSSL心臟出血漏洞的大概原理是OpenSSL在2年前引入了心跳(heartbeat)機制來維持TLS鏈接的長期存在，心跳機制是作為TLS的擴展實現，但在代碼中包括TLS(TCP)和DTLS(UDP)都沒有做邊界的檢測，所以導致攻擊者可以利用這個漏洞來獲得TLS鏈接對端（可以是服務器，也可以是客戶端）內存中的一些數據，至少可以獲得16KB每次，理論上講最大可以獲取64KB。

OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議．多數SSL加密網站是用名為OpenSSL的開源軟件包，由于這也是互聯網應用最廣泛的安全傳輸方法，被網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站廣泛使用，所以漏洞影響范圍廣大。

密歇根大學的一個安全研究團隊利用開源網絡掃描工具ZMap搜索存在Heartbleed漏洞的網站。研究人員完整掃描了地址空間，截至4月10日2:00 PM，Alexa排名前百萬的網站中有32%支持SSL，在支持HTTPS的網站中，9%存在漏洞，31.9%安全的支持OpenSSL TLS Heartbeat Extension，?59%不支持HeartbeatExtension（也就是安全的）也就是在漏洞爆發的時候全球前一百萬的網站中，有40.9%的網站中招。全球第一個被攻擊通告的案例加拿大稅務局確認heartbleed導致了900個納稅人的社會保障號被盜，這900個納稅人的社保號被攻擊者在系統中完全刪除了。

這個漏洞對中國有多大影響？漏洞爆發當日國內一線電商幾乎都存在此漏洞，淘寶修復最快，大概到4月8日下午5點左右修復漏洞，但這期間可能有不少數據被抓走。還有一些大型網站，例如雅虎的登錄存在信息泄露，網易到８日晚上８點還沒修復，還有一些在線交易網站泄露用戶ID導致可以偽造交易信息。直到4月10晚上愛奇藝還沒有修復，但目前大部分主流網站已經修復。所以OpenSSL心臟出血漏洞也堪稱中國網絡安全的一個災難事件。

這個漏洞會泄露我們哪些信息？我們的網站登錄名和密碼、期間修改過的個人隱私信息、期間修改過的密碼保護問題答案，還有信用卡信息和郵件服務器的上的郵箱地址和密碼hash。很多網站都建議用戶事后修改密碼，其實還有一些跟密碼同樣重要的信息，比如你在這個過程中修改過的密保信息也會被讀取，更保險的措施是我們也修改掉一些重要的密保信息和隱私信息，因為很多網站相信TLS加密信道。如果是有信用卡綁定的網站就比較麻煩，因為國內不是所有的網站都通過了PCI-DSS安全標準，PCI-DSS里有規定信用卡必須密文保存，而且不能保存CVV信息，如果是通過了PCI-DSS的網站，建議至少修改密碼和個人信息。

該漏洞還有哪些后繼影響？

１.新的攻擊方式已出現，攻擊者能利用該漏洞竊走受影響網站的用戶密碼和私鑰，使用存在漏洞的OpenSSL版本的網站應該廢除所有舊私鑰和證書。 ２.服務器的問題是第一波，第三方軟件使用有缺陷的OpenSSL才是接下來需要考慮的問題，攻擊者會利用這個漏洞獲取用戶原本想要保密的信息。存在客戶端和服務端的軟件也可能存在這個漏洞，甚至惡意利用者可能使用讓客戶端連接服務器端，服務器端發起針對客戶端的攻擊竊取客戶端數據。 ３.暴露在外網的服務器雖已得到及時修補，但一些公司內網的服務器卻被忽略，很容易被內部惡意讀取或是黑客內網滲透讀取。 ４.一些安全組織甚至在研究利用此漏洞做虛擬機逃逸，在虛擬機中讓真實機遠程執行代碼，且利用思路很詭異。

我們如何有效的修補該漏洞？最簡單有效的修補方案是升級到OpenSSL 1.0.1g。目前SNORT也已經出了相關規則，可以用于IDS/IPS攔截，也有很多第三方CDN流量規則攔截。但最新的利用程序是基于TLS加密信道發送的惡意請求，很輕松的繞過基于網絡層的IDS和CDN流量層的規則攔截。目前安慧網盾基于軟件端采用了加規則攔截并自動修復該漏洞，有效保護服務器安全。

其實在去年還有一個類似的嚴重安全漏洞lucky-13（CVE-2013-0169），影響了過去10年的所有TLS實現，OpenSSL的很多版本都可以完整的還原成明文，所幸該漏洞利用難度較高，利用程序也未大規模流傳，openssl?也專門發布1.0.1e修復了這個漏洞。但是大部分服務器升級了，很多網關設備依然使用存在這個漏洞的版本。

OpenSSL心臟出血漏洞也引起國內安全界的很多討論:

１.這個漏洞是OpenSSL在2年前引入了心跳(heartbeat)機制來維持TLS鏈接的長期存在產生。 ２.?這個洞的地方其實是經過了OpenSSL社區包括Qualys在內的廠商的代碼審計和fuzzing測試，但都沒測出問題，當然fuzzing后不會崩潰，是不能測出。 ３.有人猜測這個洞的樣本很可能是來自SOC的NETFLOW審計。而誰的"SOC"是最厲害的？貌似除了BIG?BROTHER沒其他人了，當然這個消息NSA已經否認。

總結

以上是生活随笔為你收集整理的OpenSSL心脏出血漏洞全回顾的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。