2014年4月一个名为“心脏出血”Heartbleed的漏洞是由安全公司Codenomicon和谷歌安全工程师发现。“心脏出血”属于高危漏洞,一个请求就可能窃取到一个用户帐号(返回服务器64K内存)。通过读取网络服务器内存,攻击者可以访问敏感数据,从而危及服务器及用户的安全。敏感的安全数据,如服务器的专用主密钥,可使攻击者在服务器和客户端未使用完全正向保密时,通过被动中间人攻击解密当前的或已存储的传输数据,或在通信方使用完全正向保密的情况下,发动主动中间人攻击。攻击者无法控制服务器返回的数据,因为服务器会响应随机的内存块。
其次,漏洞还可能暴露其他用户的敏感请求和响应,包括用户任何形式的POST请求数据,会话cookie和密码,这能使攻击者可以劫持其他用户的服务身份。在其披露时,约有17%或五十万通过认证机构认证的互联网安全网络服务器被认为容易受到攻击。
同时另一个名为“贵宾犬”Poodle的漏洞被发现。它能通过网络访问发现加密的数据,让黑客获得用户的银行账户,电子邮件以及其他服务。“贵宾犬”是继“心脏出血”和“Shellshock”漏洞之后,这已经是今年发现的第三个互联网漏洞了,但是美国研究机构——科力斯的应用安全总监克里斯迪克表示其危险性不及前两个,只是程序较为复杂而已。美国国土安全局的网络顾问表示,黑客必须通过“中间人”才能利用该漏洞进行攻击,例如一些咖啡馆的公共Wi-Fi热点就特别容易受到“贵宾犬”攻击。
据此情况,赛门铁克(VeriSign)证书亚太区战略合作伙伴“天威诚信”发出声明,SSL协议漏洞与SSL证书本身是无关的。SSL证书用于激活服务器和客户端之间的SSL传输协议。现有的SSL协议已发展出SSLv2、SSLv3、TLSv1、TLSv1.1及TLSv1.2多个版本。其中SSLv2及SSLv3已被发现存在漏洞,推荐在服务器端配置关闭该协议,仅开启TLSv1、TLSv1.1及TLSv1.2即可避免受到漏洞影响。
俗话说,魔高一尺,道高一丈。能被发现的问题,就会有解决问题的办法出现。遇到漏洞别着急,可以咨询天威诚信安全专家了解。