新闻链接：http://www.ciotimes.com/safety/aqzx/91699.html
新闻时间：2014-04-10 09:41:08  来源：CIO时代网
新闻正文：
SSL 可能是大家接触比较多的安全协议之一，看到某个网站用了 https:// 开头，就是采用了 SSL 安全协议。而 OpenSSL,则是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议，并提供了丰富的应用程序供测试或其它目的使用。OpenSSL 是一种开放源码的 SSL 实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。

    换句话讲，OpenSSL其实就是互联网上销量最大的锁。而昨天，这把锁出现了问题。OpenSSL 曝出重大安全漏洞--“Heartbleed Bug”.Google 和网络安全公司 Codenomicon 的研究人员发现，OpenSSL Heartbleed 模块存在一个 BUG:

    简单的说，黑客可以对使用https（存在此漏洞）的网站发起攻击，每次读取服务器内存中64K数据，不断的反复获取，内存中可能会含有用户http原始请求、用户cookie甚至明文帐号密码等。大家经常访问的支付宝、微信、淘宝等网站也存在这个漏洞。而更有网友测试了世界最流行的1000家网站，结果 30%~40% 的都有问题。

    除此之外，这个漏洞受到这么多人重视还有别的原因：

    这个漏洞已长时间存在，只是在昨天才被曝出。所以很难估计到底有多少网站，多少用户的资料被窃取。

    这个漏洞很容易被黑客利用。

    不留痕迹。这可能是最关键的问题，网站无法知道是谁窃取了用户信息，很难追究法律责任。

    这一漏洞的官方名称为 CVE-2014-0160.该漏洞影响了 OpenSSL 1.0.1 版至 1.0.1f 版。而 1.0.1 之前更老的版本并没有受到影响。OpenSSL 已经发布了 1.0.1g 版本，以修复这一问题，但网站对这一软件的升级还需要一段时间。不过，如果网站配置了一项名为“perfect forward secrecy”的功能，那么这一漏洞的影响将被大幅减小。该功能会改变安全密钥，因此即使某一特定密钥被获得，攻击者也无法解密以往和未来的加密数据。

    如何应对该漏洞？

    个人用户防御建议：

    各个网站修复这个漏洞都可能需要 1-3 天的时间，有些反应较为迅速的网站如淘宝，微信等可能修复的更快。只要等有漏洞的网站修复完成就能登陆了。当然，若还是不放心，你还可以点击这里或者点击这里查看自己要登陆的网站是否安全。对已经不小心登陆过这些网站的用户，可以修改一下密码。

    除此之外，密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息，所以要关注银行报告中的陌生扣款。

    企业防御建议： 升级到最新版本OpenSSL 1.0.1g.无法立即升级的用户可以以-DOpenSSL_NO_HEARTBEATS开关重新编译OpenSSL.而1.0.2-beta版本的漏洞将在beta2版本修复。当然，升级后别忘记提醒用户更改密码、提醒云服务使用者更新SSL密钥重复证书。

    推荐阅读：邪红色信息安全组织创始人 @Evi1m0 发表的《核弹级漏洞爆出，互联网公司不眠夜，网民们还蒙在鼓里》一文，他实际测试了国内重要网站的受影响情况，有助于大家直观了解此次安全漏洞的严重程度。

[课程]FART 脱壳王！加量不加价！FART作者讲授！