應對OpenSSL安全漏洞需要多方平衡

行業資訊

作者：張劍　李苑

摘要：OpenSSL的1.0.1版本和1.0.2betal版本被發現存在安全漏洞“heartbleed”。事實上，全球約有500萬服務器存在安全威脅，麵對難以杜絕的安全漏洞，企業和產業需要的是在成本、安全性和係統的多樣性上取得平衡。

關鍵詞：OpenSSL；安全漏洞； 影響與平衡

4月7日，OpenSSL的1.0.1版本和1.0.2betal版本被發現存在安全漏洞“heartbleed”，全球約有500萬服務器存在安全威脅，其中包括淘寶、微信、雅虎保存大量用戶信息的站點。媒體過於專注眼前的用戶信息泄露風險，而真正的問題在於漏洞存在時間長達兩年，無法追蹤和估計這段時間內已經產生的問題。事實上，此類漏洞的問題難以杜絕。在實踐中，企業和產業需要在成本、安全性和係統的多樣性上取得平衡。

1 漏 洞

OpenSSL是一套開放源代碼的SSL安全套件，保障網絡通信安全及數據完整性，提供基本的傳輸層數據加密功能，由OpenSSL 開源社區項目組進行開放和維護。

具有漏洞的代碼自從2011年12月寫入安全套件，隨著2012年1月份OpenSSL 1.0.1的發布，廣泛存在於使用OpenSSL 1.0.1係列版本（從1.0.1a到1.0.1f）和OpenSSL 1.0.2betal的站點中。

據OpenSSL 開源社區項目組的介紹，OpenSSL在使用“TLS heartbeat extension”的時候，連接用戶和服務器的內存中有最多64 Kb的內存空間存在信息泄露的風險。

通過讀取這部分內存，攻擊者可能直接獲得或者拚湊出敏感數據，包括用戶名和密碼、訪問的內容和加密流量的密鑰。該漏洞允許攻擊者竊聽通信，並通過模擬服務提供者和用戶盜取數據；攻擊者還能夠重置有關用戶或密鑰的信息，對過去或將來的加密數據進行監視。

在漏洞被暴露出來的當天，OpenSSL 開源社區項目組便發布了新版本1.0.1g，修複了此問題，1.0.2-betal2版本也即將發布。

2 目前的影響

由於各方行動迅速及漏洞本身的技術特點，自問題暴露開始，其產生的風險便被迅速控製。

該漏洞使得部署OpenSSL的1.0.1版本的站點存在風險，但並沒有一些媒體所報道的那麼誇張。他們的報道認為，Web服務器市場占有率達66%的Apache 和 Nginx使用了OpenSSL，所以具有非常大的安全隱患。這並沒有完全反映英國互聯網安全服務企業Netcraft報告的內容。