OpenSSL Security Advisory [07 Apr 2014] ======================================== TLS heartbeat read overrun (CVE-2014-0160) ========================================== A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1. Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley
新浪科技讯 北京时间4月11日早间消息,OpenSSL的“心脏流血(Heartbleed)”漏洞不仅影响了大量服务器,也存在于思科(22.65, -0.47, -2.03%)和Juniper的网络设备中。两家公司表示,目前仍在就Heartbleed漏洞对产品的影响进行调查,并计划对问题说明进行逐步更新。
Juniper和思科已在问题说明中列出了受影响的产品。思科发言人表示,思科将逐个产品发布说明,而思科工程师正在评估哪些产品使用了存在漏洞的OpenSSL,因此需要打补丁。
不过,并非所有产品都需要打补丁,因为思科认为,漏洞仅存在于OpenSSL的一个特定功能中,而思科的产品并不总是打开这一功能。
到目前为止,思科已经列出了十余款被确认存在漏洞的产品,而另60余款产品可能受到影响,但调查仍在进行中。此外,已有20余款产品被确认不会受到这一漏洞的影响。思科表示,将随时对这一列表进行更新,不过到目前为止,思科尚未发布任何安全更新。
Juniper并未派出发言人讨论Heartbleed漏洞,而是发布一份声明表示:“Juniper网络安全故障响应团队已经知道,OpenSSL漏洞影响了整个行业,目前正在争分夺秒地解决部分Juniper产品中的潜在风险。”
Juniper在问题说明中列出了存在漏洞的几款产品,以及被确认未收到影响的产品。
信息安全厂商Lookout Security表示,除网络设备之外,一些版本的Android系统也存在Hearbleed漏洞。到目前为止,该公司确认存在漏洞的Android版本包括4.1.1和4.2.2,而当前的4.5版没有受到影响。(维金)
一张图看懂心脏流血漏洞 “有可能导致网络大混乱么?”反复修改了自己的问题之后,我点击了“发送”。摘要 : 4月8日是黑客和白帽们的不眠之夜。他们有的在狂欢,逐个进入戒备森严的网站,耐心地收集泄漏数据,拼凑出用户的明文密码;有的在艰苦升级系统,统计漏洞信息,还要准备说服客户的说辞,让他们意识到问题的严重性。
文/阳淼 山寨发布会创始人
4月8日是黑客和白帽们的不眠之夜。他们有的在狂欢,逐个进入戒备森严的网站,耐心地收集泄漏数据,拼凑出用户的明文密码;有的在艰苦升级系统,统计漏洞信息,还要准备说服客户的说辞,让他们意识到问题的严重性;当然还有淼叔这样看热闹不嫌事大的,拼命恶补安全常识、寻找专家采访,试图记录这历史性的一夜。
这一夜,互联网门户洞开。
基础安全协议“心脏出血”
北京知道创宇公司的余弦守在电脑屏幕前彻夜未眠。作为一家高速发展的安全企业研究部总监,余弦在国内黑客圈资历颇深。他向淼叔介绍了这次事件的起源。该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。4月7号,程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。
他披露,OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。
一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。这一夜,互联网的安全核心,开始滴血。
中国有至少三万台机器“带病”
一些安全研究者认为,这个漏洞影响可能没有那么大,因为受漏洞影响的OpenSSL 1.01系列版本,在互联网上部署并不广泛。
国内老资格的安全工作者、安天实验室首席架构师江海客不认同这种说法。他在微博上预警:“这一次,狼真的来了”。
余弦则以对问题进行了精确的定量分析。4月8日的不眠之夜中,他除了在Twitter和各大论坛中实时跟踪事态的最新进展,更重要的精力放在了ZoomEye系统的扫描上。根据该系统扫描,中国全境有1601250台机器使用443端口,其中有33303个受本次OpenSSL漏洞影响!443端口仅仅是OpenSSL的一个常用端口,用以进行加密网页访问;其他还有邮件、即时通讯等服务所使用的端口,因时间关系,尚未来得及扫描。
ZoomEye是一套安全分析系统,其工作原理类似Google,会持续抓取全球互联网中的各种服务器,并记录服务器的硬件配置、软件环境等各类指标,生成指纹,定期对比,以此确定该服务器是否存在漏洞或被入侵。在此次“心脏出血”漏洞检测中,余弦给该系统后面加上一个“体检”系统,过滤出使用问题OPenSSL的服务器,即可得出存在安全隐患的服务器规模。
从该系统“体检”结果看,比三万台问题服务器更令人惊心的,是这些服务器的分布:它们有的在银行网银系统中,有的被部署在第三方支付里,有的在大型电商网站,还有的在邮箱、即时通讯系统中。
自这个漏洞被爆出后,全球的骇客与安全专家们展开了竞赛。前者在不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户敏感数据;后者则在争分夺秒地升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。。余弦说,这是目前最危险的地方:骇客们已经纷纷出动,一些公司的负责人却还在睡觉。而如果骇客入侵了服务器,受损的远不止公司一个个体,还包括存放于公司数据库的大量用户敏感资料。更为麻烦的是,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经 有骇客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。
问题的应对与新的问题
目前,ZoomEye仍在持续不断地给全球服务器”体检“,这个过程需要20小时左右。相比之下,仅仅给国内服务器体检需要的时间短得多,仅仅需要22分钟;而给那三万多台”带病“服务器重复体检,则只需两分钟。目前,余弦已经将这份名单提交给CNCERT/CC(国家互联网应急中心),由后者进行全国预警。但是,除了移动、联通等这些大型企业外,CNCERT也没有强制力确保其他公司看到预警内容,最后可能还是需要媒体持续曝光一些“带病”服务器,以此倒逼相关公司重视该漏洞。
而在漏洞修补期间,普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说,余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被漏洞后的骇客捕获。“一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了,确认安全后再登。如果已经登录过了,那就考虑换一下密码吧。”
与用户的消极避险不同,相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。
由于“心脏出血”漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,但客观上也使得问题及时暴露,在发生更大的损失前及时得到弥补。作为身处其中的个人,主动应变、加强自我保护,可能比把安全和未来全部托付出去要负责任一些。
片刻后,对话框里跳出一句回复“现在已经乱了。”
之后,是长久的寂静。
显然,网络对面那位顶级白帽(指以善意方式使用自身技术的黑客),已经顾不上搭理我——在这个不眠之夜,Ta还有太多的事情要做。
2014年4月8日,必将永载于互联网史册。
这一天,互联网世界发生了两件大事:一、微软正式宣布XP停止服务退役;第二件,OpenSSL的大漏洞曝光。
很多普通人更关心第一件事,因为与自己切身相关。
但事实上,第二件事,才是真正的大事件。
这个漏洞影响了多少网站,这个数字仍在评估当中,但放眼放去,我们经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站,基本上都出了问题。
而在国外,受到波及的网站也数不胜数,就连大名鼎鼎的NASA(美国航空航天局)也已宣布,用户数据库遭泄露。
这个漏洞被曝光的黑客命名为“heartbleed”,意思是“心脏出血”——代表着最致命的内伤。
这是一个极为贴近的表述。
如果用专业的表述,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,它通过一种开放源代码的SSL协议,实现网络通信的高强度加密。
这也就是说,OpenSSL的存在,就是一个多用途的、跨平台的安全工具,由于它非常安全,所以被广泛地用于各种网络应用程序中。
但现在,OpenSSL自己出现了漏洞,而且是非常高危胁的漏洞。利用这个漏洞,黑客可以轻松获得用户的cookie,甚至明文的帐号和密码。
这就像什么呢?你背靠着城墙与敌人战斗,突然,墙垮了。
于是,一场疯狂的竞速开始。
网站们开始紧急预警和修复升级,安全公司和白帽们忙着测试漏洞影响并进行扩展推衍,而更多的黑客们,则抓紧时间开始狂欢:
懂技术的人,深入地把玩这个漏洞,以它为武器,向自己久攻不下的网站发起攻击;不懂技术的小黑客们,也如同大战场边缘的游勇,利用漏洞四下劫掠。
这是一个不眠之夜——除了大批仍茫不知情的网民。
面对危机,网站们策略不一,有的紧急升级OpenSSL;有的暂停了服务;有的服务还在,但暂停了SSL加密;当然,还有的在睡大觉……
希望他们早上起来以后,还能保持自己放松的心情。
事实上,就漏洞本身来说,现在黑客们争夺的就是时间,一旦主要的网站们完成漏洞修复,这一波地震就能算是过去,大家自然回归常态,该网购的网购,该玩的玩。
不过,值得注意的是,由于OpenSSL应用非常广泛,所以相对网站等表面上的应用,它在各种客户端、VPN、WAF等其他领域,也将带来更加隐蔽的风险,并将持续一段时间。
而对整个互联网产业来说,这个事件更大的一个意义,在于让所有人重新回过头来反思:
当我们认为安全的一切,都突然变得不安全,我们又将如何维持这个虚拟世界的存续与稳定?
如果,这个事件能够改变环境,让因为不受重视,缺乏商业输血,长期处于孱弱状态的中国网络安全产业获得新的生机,或许,也能算是塞翁失马,终有所得。
哲涛科技
点我咨询