ssl漏洞是什么
您说的应该是前不久OpenSSL曝光的漏洞: OpenSSL 受漏洞影响版本的分布 根据已经公开的信息,该漏洞影响分布情况如下。 1、OpenSSL 1.0.1f (受影响) 2、OpenSSL 1.0.2-beta (受影响) 3、OpenSSL 1.0.1g (不受影响) 4、OpenSSL 1.0.0 branch (不受影响) 5、OpenSSL 0.9.8 branch (不受影响) OpenSSL 防漏的处置建议如下两种方法: 1:升级到OpenSSL最新版本OpenSSL1.0.1g或更高 最新OpenSSL库URL:http://www.openssl.org/source/ 2:如果客户的web服务器OpenSSL库不方便或不能升级到最新的OpenSSL包,要求客户重新编译原有的OpenSSL库,编译时添加这个参数(把心跳模块去掉): with -DOPENSSL_NO_HEARTBEATS 网络检测相关方法 通用Snort规则检测 由于众所周知的SSL协议是加密的,我们目前没有找到提取可匹配规则的方法,我们尝试编写了一条基于返回数据大小的检测规则,其有效性我们会继续验证,如果有问题欢迎反馈。 alert tcp $EXTERNAL_NET any -> $HOME_NET 443 (msg:"openssl Heartbleed attack";flow:to_server,established; content:"|18 03|"; depth: 3; byte_test:2, >, 200, 3, big; byte_test:2, <, 16385, 3, big; threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160; classtype:bad-unknown; sid:20140160; rev:2;) Snort规则说明:此次漏洞主要针对的SSL协议。是针对心跳数据包前4个字节中包含\x18\x03,而在数据包第5个字节和第6个字节的数值按大尾 模式转化成数值在200和16385之间,在后面则是一些报警和过滤功能,日志记录里,每10分钟记录一次。 问:升级OpenSSL修复好漏洞后,是否还存在隐患? 答:在OpenSSL漏洞存在并被攻击时,通过漏洞利用工具发送数据后,确实可以获取到带有敏感信息的内存内容。例如:用户的 cookie信息、内网IP地址、用户名、密码、手机号、信箱等。如攻击者利用此漏洞对网络交易、证券、银行等网络进行攻击,那么将有可能获取到用户名、 密码、银行账号等敏感信息,等同于没有做SSL加密的明文传输。再次提醒网站管理员和使用SSL协议连接网站的用户请尽快按照我们的处置建议进行操作。如 此分析,说明只能保证修复之后平台是非常安全的,但在升级OpenSSL修复好漏洞前被攻击泄露的客户信息是无法保障的。 问:本次漏洞是否与SSL证书有关 答:本次OpenSSL漏洞问题与任何SSL证书都无关,具体产生的原因可以访问OpenSSL官网。 有关OpenSSL问题还有任何不清楚的地方可与深圳维瑞的技术人员联系。 参考资料:http://www.willrey.com/news/openssl.html
openssl怎么总是有漏洞,最新的漏洞
是个程序就有漏洞,被人发现了就有漏洞,没被发现就没有漏洞,明白我的意思吗?程序员的一生就是和漏洞战斗的一生。
openssl怎么总是有漏洞,最新的漏洞
是个程序就有漏洞,被人发现了就有漏洞,没被发现就没有漏洞,明白我的意思吗?程序员的一生就是和漏洞战斗的一生。
ssl漏洞是什么
SSL也就是Secure Socket Layer,是一种在Web会话双方和客户间实现安全会话的通讯协议。可以帮助会话双方建立信任关系,实现安全会话。要做到这些还需要结合证书机制,所以会话双发首先要从CA申请数字证书,然后用数字证书中的公钥建立信任关系,再用密钥加密要传输的数据。浏览器与WEB服务器之间再SSL的基础上建立应用层会话,通信协议为HTTPS。 由于使用HTTPS/SSL的会话双方是通过一个加密的安全通道进行数据传输,所以很容易给人一个错误的认识,就是在这种机制下一定是安全的,但事实是否定的。原因很简单,因为理想的安全系统是不存在的,SSL同样不例外。 SSL安全漏洞主要体现在以下几个方面: 1.SSL服务缺陷 SSL是为网络通信提供安全保障的但其自身的安全却有可能不理想,而且对于SSL服务自身的安全缺陷是最致命的安全漏洞。这一点也不好笑。在流行的OpenSSL系统就有许多的安全漏洞,最典型的就是存在于各个版本的缓冲区溢出漏洞。 OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高密度加密,现在被广泛地应用于各种网络应用程序中。目前OpenSSL已经发现的严重安全漏洞主要有: ●OpenSSL服务器SSLV2握手进程缓冲区溢出漏洞。 ●OpenSSL客户端SSLV3握手进程缓冲区溢出漏洞。 ●使用Kerberos的OpenSSL服务器SSLV3握手进程缓冲区溢出漏洞。 ●OpenSSL在64位平台下处理整数ASCLL字符存在缓冲区漏洞。 ●OpenSSL的ASN.1库在处理畸形证书时存在编码错误容易引发拒绝服务攻击。 2002年9月以来,有许多利用OpenSSL安全漏洞的蠕虫,比如"Apache/mod_ssl","Slapper","bugtraq.c"蠕虫。这些蠕虫的攻击对象是使用OpenSSL 0.8.6d之前的SSL模块(mod_ssl)和在Linux上运行的Apache服务器,但仅限于SSL v2设置位有效的且硬件位Intel x86的设备。 蠕虫将以下请求发往连接在Internet上的TCP80端口,并搜索攻击对象的Apache服务器: GET /mod_ssl:error:HTTP-request HTTP/1.0 如果根据反应确认是Apache服务器,那么就会通过TCP 443发送蠕虫的源代码.之后编辑送入的源代码,并在被攻击设备上执行。让后被感染的设备上再寻找下一个目标。在各台设备上运行的蠕虫通过UDP 2002端口通信,并形成P2P网络。使用这一网络,可以将特定的数据保包一齐向特定目标发送,也就是说可以作为DDOS攻击的平台使用。 现在可以看出,OpenSSL系统的安全漏洞不仅危害SSL通信的安全,而且对整个网络系统的安全也有一定的影响。 2.攻击证书 证书的可信度首先取决于CA,而CA的表现却并不能让人满意。 像Verisign之类的安全CA机构并不总是可靠的,系统管理员经常犯的错误就是过于信任Verisign等公共的CA机构。但是,对于用户的证书,CA机构可能不像对网站数字证书那么重视和关心其准确性。对用户的证书的审核,颁发,吊销等工作环节可能不够严密,容易造成证书验证不准确,滥发,滥用,传递中被窃取甚至劫持等。 更位严重的是,由于微软的IIS提供了"客户端证书映射"功能,用于将客户端提交证书中的名字映射到NT的用户帐号,在这种情况下如果管理员的证书被窃取或被劫持,那么就能是黑客获得系统管理员权限。 黑客可以尝试暴力破解攻击。虽然暴力破解攻击证书比暴力破解攻击口令更位困难,但仍然算一种攻击方式。要暴力破解攻击客户端认证,首先要编辑一个一个用户名列表,然后为每一个名字向CA申请证书。每一各证书都用于尝试获取访问权限。用户名的选择越好,其中一个证书被认可的可能性就越高。暴力破解证书的方便之处就是只需要猜一个有效的用户名,而不是用户名和口令。 3. 窃取证书 除了上面的方法外,黑客还可能窃取有效证书及相应的私有密钥。最简单就是用木马。这种攻击几乎可使证书形同虚设。它攻击的是客户端系统,并获取其控制权,然后设法利用,窃取或劫持用户的证书。 证书服务的关键就是密钥,但是用户经常将密钥保存在不安全的地方,这就又给了黑客可乘之机。对付这种攻击的唯一有效方法也许就是将证书保存在智能卡之类的设备中。 4.管理盲点 由于SSL会话是加密的,系统管理员没办法使用现有的安全漏洞扫描或IDS来审查或监控网络上的SSL交易。这样就出现了管理上的盲点。 IDS是通过监控网络传输来寻找没有经过认证的活动。任何符合已知的攻击模式或者并未经过政策上授权的网络活动都被标起来以供系统管理员监视。而要让IDS能够发生作用,IDS必须能够监视所有的网络流量信息,但是SSL的加密技术却使得通过HTTP传输的信息无法让IDS辨认。 我们可以通过最新的安全扫描软件审查一般的网页服务器来寻找已知的安全盲点,这种扫描软件并不会检查经过SSL保护的服务器。受到SSL保护的网页服务器的确拥有与一般服务器同样的安全盲点,可是也许是因为建立SSL连接所需要的时间以及困难度,安全漏洞扫描软件并不会审查受到SSL保护的网页服务器。没有网络监视系统再加上没有安全漏洞审查,使得最重要的服务器反而成为受到最少保护的服务器
我的电脑中了openssl 心血漏洞,要怎么弄?急急急
升级360安全卫士到最新版,用心血修复器修复 http://bbs.360safe.com/thread-3751432-1-1.html 360出的是紧急处理办法,是可以处理的 这个漏洞被曝光的黑客命名为“heartbleed”,意思是“心脏出血”——代表着最致命的内伤。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码。360网站安全检测平台发现,大批知名网站受该漏洞影响。 http://bbs.360safe.com/thread-3820822-1-1.html
