OpenSSL漏洞

安全協議OpenSSL2014年4月8日曝出嚴重的安全漏洞。這個漏洞使攻擊者能夠從內存中讀取多達64 KB的數據。

OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議，正在各大網銀、在線支付、電商網站、門户網站、電子郵件等重要網站上廣泛使用，所以本次漏洞特別值得關注。

使用了存在漏洞的OpenSSL版本，用户登錄該網站時就可能被黑客實時監控到登錄賬號和密碼等敏感的信息。

對於一個安全協議來説，這樣的安全漏洞是非常嚴重的，但該漏洞並不一定導致用户數據泄露。因為該漏洞只能從內存中讀取64K的數據，而重要信息正好落在這個可讀取的64k上的幾率並不大，攻擊者除了具備相應的知識外，還需要很好的運氣。

該漏洞是由安全公司Codenomicon和谷歌安全工程師獨立發現的。使用OpenSSL 1.0.1f的服務器將受影響，運維人員應該馬上升級。此外，1.0.1以前的版本不受此影響，但是1.0.2-beta仍需修復。

8日下午，大量網站已開始緊急修復此OpenSSL高危漏洞，修復此漏洞普遍需要半個小時到一個小時時間，大型網站修復時間會更長一些。 ^[1] 

網絡安全領域資深人士透露，由於OpenSSL漏洞的出現，在8日、9日地下交易市場中，各種兜售非法數據的交易顯得異常火爆，比如一份某省工程類人員的信息數據，清晰顯示出大量人員的姓名、身份證號碼等。北京知道創宇信息技術有限公司首席執行官楊冀龍説，監測顯示，某寶的網站被黑客盜取了1T的內存，雅虎郵箱的大量賬户密碼也曝已經泄露。 ^[2] 

面對“地震級”漏洞，各網站和安全廠商均採取緊急措施，如360、百度等公司在升級OpenSSL，微信已暫停SSL服務，有的網站為規避風險，乾脆暫停全部服務。 ^[2] 

截至9日晚，國內12306鐵路客户服務中心、微信公眾號、支付寶、淘寶網、360應用、陌陌、雅虎、QQ郵箱、微信網頁版、比特幣中國、雅虎、知乎等網站的漏洞已經修復完畢。 ^[2]