RSS Feed
更好更安全的互联网

当安全协议不安全了:OpenSSL漏洞

2014-04-11

 

4月8日这一天是一个特别的日子,早上大家还在讨论XP停止服务的事,到处是相关的新闻和文章,到了下午,到处都是OpenSSL的漏洞消息了。

OpenSSL与SSL安全协议

什么是SSL安全协议,我记得在10年我写过一篇简单介绍的文章,小谈SSL安全协议(小谈SSL安全协议(原创)_Fooying_百度空间),大家不凡可以看看,以前的文章,大家就不要笑话了。

SSL,全称Secure Socket Layer,为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。简单的说,就是加密传输的数据,避免被截取监听等。

SSL应该是大家平时接触最多的安全协议了,大家可以看访问一些网址的时候,一般是http://开头,如果发现https://开头就是采用了SSL安全协议。比如,大家在登陆微信网页版的时候就可以看到:

867cf064f75d86a3d1a9d94bcd436a30_b

 

一般来说,比如nginx,可以通过以下方式就可以进行配置:


大家可以看到,监听的是443端口,然后通过ssl on;来开启,同时通过ssl_certificate和sl_certificate_key配置证书和key文件,具体的就不多解释了,大家可以自己搜索下。

那么证书和key又是怎么一回事呢?接下来就要讲到OpenSSL了。

进行过nginx编译的同学都知道,在编译nginx的时候,如果想让nginx支持开启SSL,那么必须加一个--with-http_ssl_module 的配置项。那么又何让服务器支持这个配置项呢?又如何生成nginx配置中SSL所需要的证书和key文件呢?都是源于OpenSSL(openssl_百度百科)。

OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不应该只将其作为一个库来使用,它还是一个多用途的、跨平台的密码工具。

大家平时如果采用公私钥的方式连接服务器,也是需要用到OpenSSL的。简单的理解,OpenSSL是一个强大的支持库,更是一个强大的密码工具。虽然要支持SSL协议不一定得采用OpenSSL,但是基本大部分的都是采用OpenSSL。

心脏出血的OpenSSL

相信前面简单的介绍能让大家了解到OpenSSL的重要性,也明白了SSL协议是做什么的,那么大家应该就可以理解,本来采用SSL协议是为了数据传输的安全性,是为了更安全,但是OpenSSL的漏洞直接导致了本该是让为了更安全的设置变成了致命的危险。

简单介绍下漏洞,这个漏洞是昨天国外的黑客曝光的,该漏洞可以获取HTTPS服务器的随机64K内存。这个漏洞被称为heartbleed,直译的话就是心脏出血。可能有部分同学没意识到这个64K有啥用错,读取内存又有啥用?

贴几张图:

0c829e6c9195216e4af9a348c1f15d18_b

 

9fe7d8fb806fc8998a1542b6b77c742e_b

 

这是笔者利用poc进行的一些测试(测试poc:hhttp://pan.baidu.com/s/1nt0T0d7,直接python ssltest.py domain就可以了),大家可以看到,cookie甚至是明文帐号密码都直接爆出来了,有的还有代码源码(这个忘记截图了。。。)、SSL私钥(这个笔者没测试出来)等,那么影响有多大呢?看下wooyun的漏洞提交列表:

再给个来自zoomeye(ZoomEye - The Cyberspace Search Engine)的统计数据:

全国443端口:1601250,有33303个受本次OpenSSL漏洞影响

看了这些,称为"心脏出血"完全不为过。今天估计又有许多运维同学可忙的了。具体的漏洞分析我也不多说了,大家可以看wooyun上的文章(关于OpenSSL“心脏出血”漏洞的分析

安全防范

说了这么多,可能有些同学觉得都不要去访问那些是https的网站了,其实也大可不必,官方其实已经放出补丁了,修复方法:

升级到最新版本OpenSSL 1.0.1g
无法立即升级的用户可以以-DOPENSSL_NO_HEARTBEATS开关重新编译OpenSSL
1.0.2-beta版本的漏洞将在beta2版本修复

对于个人用户的话,大家不用太担心,虽然说影响有点大,不过问题主要是出在服务商,而且像那些大网站,比如微信、淘宝等都已经修复了,实在不放心,大家可以这几天暂时不要访问使用了SSL协议的网站进行登陆等操作,特别是网银等网站。另外,提供个在线检测的工具给大家:Test your server for Heartbleed (CVE-2014-0160)与我们团队弄的一个工具实验室 - SCANV,大家也可以访问前进行下检测。

f58ce125ac65ecd65358b0e727174b29_b

 

069d7a9a8c5fad5522ad9d0793d12549_b

作者:糜忠岐 糜 | Categories:安全研究技术分享 | Tags:

5条评论

  1. 御宅族说道:

    请问这篇文章可以转载吗?

  2. 沈园说道:

    测试poc的链接有问题,链接地址貌似就是text的内容

  3. 夜鸣猪说道:

    这个ubuntu用的啥皮肤,看起来这么叼,求分享啊

发表评论