Heartbleed-2014-4-15
Heartbleed在OpenSSL是一個災難性的漏洞:
“Heartbleed 漏洞在有弱點的OpenSSL版本中,允許任何人經由網路讀取系統所保護的記憶體資料。被破解的秘密金鑰被使用在識別服務提供者及加密傳輸(資訊)、用戶的姓名密碼及實際內容等。一旦破解使得攻擊者可以直接竊聽溝通訊息、從伺服器端及使用者端間偷取資料甚至可以去偽裝成伺服器或使用者。"
基本上,攻擊者可以從伺服器中抓取64K的記憶體內容。此攻擊可以多次抓取隨機64K的記憶體內容並且不會留下任何痕跡。這代表任何在記憶體的內容,包括SSL的私密金鑰及使用者的金鑰都暴露在風險中。甚至可以假定它們全部都被破解了。
“災難性(Catastrophic)"一詞是使用無誤的,若在規模1到10中,它代表的是11。
有五十萬個網站是暴露在這風險中的,其中也包含了我的網站。這網站可以測試你的網站是否存有這些弱點。
目前該漏洞已經被修補完成。在修補了你的系統之後,你必須取得一對新的公開/私密金鑰對,更新你的SSL憑證,並且修改你每一個可能因其而受到影響的密碼。
關於這點,有可能有更多的情報機構在設法取得每一個目標的私密金鑰。真正的問題在於,這一切是否是某人蓄意安插這個漏洞在OpenSSL裡,並利用這兩年的時間任意存取其能取得的資料呢?在我的猜測下,這次的事件是個意外,但是我並沒有任何的證據。
這篇連結文章值得一讀。
修改日期(4/9):有人在注意那些低利潤又無法升級且又使用了OpenSSL嵌入式系統呢?若升級路徑是一個垃圾連結、需要拜訪Best Buy或是需要信用卡,人們是不會有興趣的。
修改日期(4/10):我聽到一件事是電子證書認證機構(CA)完全堵塞了,原因太多人試著去申請新的憑證,但我並不確定我們是否擁有足夠的基本能力去註銷掉五十萬個憑證。這可能是去年Heartbleed開始被利用的證據。
修改日期(4/10):我不知道是否將會有來自於主流媒體及大眾的一些反彈,如果我們猜想的這些壞事沒有真的發生,例如過去的千禧蟲漏洞(Y2K),那我們必定會成為眾矢之的。
修改日期(4/11):Brian Krebs和Ed Felten講述了如何在Heartbleed的衝擊下自保。
本文為【網路管理實驗室】協助翻譯
原文網址:https://www.schneier.com/blog/archives/2014/04/heartbleed.html
Leave a Reply