OpenSSL漏洞

安全協定OpenSSL2014年4月8日曝出嚴重的安全漏洞。這個漏洞使攻擊者能夠從記憶體中讀取多達64 KB的數據。

OpenSSL是為網路通信提供安全及數據完整性的一種安全協定，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協定，目前正在各大網銀、線上支付、電商網站、入口網站、電子郵件等重要網站上廣泛使用，所以本次漏洞特別值得關注。

使用了存在漏洞的OpenSSL版本，用戶登錄該網站時就可能被黑客實時監控到登錄賬號和密碼等敏感的信息。

對於一個安全協定來說，這樣的安全漏洞是非常嚴重的，但該漏洞並不一定導致用戶數據泄露。因為該漏洞只能從記憶體中讀取64K的數據，而重要信息正好落在這個可讀取的64k上的幾率並不大，攻擊者除了具備相應的知識外，還需要很好的運氣。

該漏洞是由安全公司Codenomicon和谷歌安全工程師獨立發現的。使用OpenSSL 1.0.1f的伺服器將受影響，運維人員應該馬上升級。此外，1.0.1以前的版本不受此影響，但是1.0.2-beta仍需修復。

8日下午，大量網站已開始緊急修復此OpenSSL高危漏洞，修復此漏洞普遍需要半個小時到一個小時時間，大型網站修復時間會更長一些。

網路安全領域資深人士透露，由於OpenSSL漏洞的出現，在8日、9日地下交易市場中，各種兜售非法數據的交易顯得異常火爆，比如一份某省工程類人員的信息數據，清晰顯示出大量人員的姓名、身份證號碼等。北京知道創宇信息技術有限公司執行長楊冀龍說，目前的監測顯示，某寶的網站被黑客盜取了1T的記憶體，雅虎信箱的大量賬戶密碼也曝已經泄露。

面對“地震級”漏洞，各網站和安全廠商均採取緊急措施，如360、百度等公司在升級OpenSSL，微信已暫停SSL服務，有的網站為規避風險，乾脆暫停全部服務。

截至9日晚，國內12306鐵路客戶服務中心、微信公眾號、支付寶、淘寶網、360套用、陌陌、雅虎、QQ信箱、微信網頁版、比特幣中國、雅虎、知乎等網站的漏洞已經修復完畢。