关于OpenSSL高危心脏出血漏洞对于网站来说,是一个非常严重的问题,这个漏洞可以使得攻击者能够从网站的内存当中读取最多64KB的数据,并且无需任何特权信息或者身份验证,就可以偷来X.509证书的私钥、用户名与密码、聊天工具的消息、电子邮件以及重要的商用文档好通信等数据。今天小凯seo博客转载来自百度安全指数所发布的一篇关于这种漏洞的介绍,正文部分如下:
发现时间:2014年4月
漏洞等级:高危
漏洞原理
OpenSSL的代码中没有对读长度进行检查,攻击者可以利用这个缺陷,在一个心跳请求中获取到服务器进程中最大为64KB的数据。通过发出多个这样的请求,攻击这就可以无限制地获取内存数据。服务器的进程中必然存在敏感信息:例如会话票证的密钥、TLS的会话密钥以及各类密码,攻击者就可以得到这些信息。
影响版本:OpenSSL 1.0.1-1.0.1f
漏洞影响
TLS协议有史以来遭遇的最严重的问题,也是TLS史上速度最快的漏洞修复。
修复方案
第一步:打补丁
升级OpenSSL到最新版本或重新编译OpenSSL 1.0.1,配置OpenSSL以删除对心跳协议的支持。
$ ./config –DOPENSSL_NO_HEARTBEATS
$ make
第二步:泄漏信息清理
替换服务器的私钥,重新签发新证书并吊销旧证书;
如果使用了会话票证,替换会话票证的对称密钥;
服务器内存中其他密码的替换,例如用户密码,根据风险预测建议用户修改密码;例如数据库密码。