openssl爆出安全漏洞 須盡快升級

openssl是一個強大的安全套接字層密碼庫，apache使用它加密https，openssh使用它加密ssh。openssl為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼演算法、常用的密鑰和證書封裝管理功能以及ssl協議，並提供了豐富的應用程式供測試或其它目的使用。

越來越多的網站使用加密代碼來保護如用戶名、密碼和信用卡號等數據，這能夠防止駭客通過網絡盜取個人資訊。

這種加密協議被稱為ssl(secure sockets layer安全套接層)或tls(transport layer security protocol安全傳輸層協議)。當一個網站使用這種安全協議，瀏覽器中的地址欄旁會出現掛鎖圖標。

編寫加密代碼十分復雜，所以很多網站使用一種開源的免費安全協議，即openssl。

昨日，openssl爆出其加密代碼中一種名為heartbleed的嚴重安全漏洞(cve id:cve-2014-0160)，駭客可以利用該漏洞從服務器內存中竊取64kb數據。據谷歌和網絡安全公司codenomicon的研究人員透露，該漏洞已經存在存在兩年之久，三分之二的活躍網站均在使用這種存在缺陷的加密協議。

該 heartbleed bug 可以讓互聯網的任何人讀取系統保護內存，這種妥協密鑰用於識別服務提供者和加密流量,用戶名和密碼的和實際的內容。該漏洞允許攻擊者竊聽通訊，並通過模擬服務提供者和用戶來直接從服務提供者盜取數據。

目前僅openssl的1.0.1及1.0.2-beta版本受到影響，包括：1.0.1f及1.0.2-beta1版本。

由於“心臟出血”漏洞的廣泛性和隱蔽性，未來幾天可能還將會陸續有問題爆出。安恒資訊建議廣大互聯網服務商盡快將openssl升級至1.0。openssl project已經為此發布了一個安全公告(secadv_20140407)以及相應補丁:secadv_20140407：tls heartbeat read overrun (cve-2014-0160)