OpenSSL漏洞 中国有33303台机器受影响

OpenSSL被广泛应用于各大网银、在线支付、电商网站、门户网站、电子邮件等领域，OpenSSL漏洞确实可能引发网络大乱。

网友“白猫客”：

一直被用来加密的安全协议竟然有漏洞！OpenSSL今天成了各大媒体报道的对象。到底出现了什么样的漏洞？OpenSSL又是什么？我要怎么保护自己？

腾讯科技：

据科技博客网站TechCrunch报道，OpenSSL一直存在漏洞，黑客可以利用该漏洞从服务器内存中窃取64KB数据。网友经常使用的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银等各种网站，基本上都出了问题。

OpenSSL漏洞确实可能引发网络大乱。

《科技不怕问》特约答题嘉宾：金山网络安全专家李铁军

OpenSSL是什么？

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。

简单识别网站应用是否采用SSL加密，只需要看浏览器地址栏是http://，还是https://，以https://访问的网站就是用SSL加密的。通常是非常关键的网络服务，比如邮箱、支付、银行。

OpenSSL心脏出血漏洞

这个漏洞是国外黑客首先曝光的，这个漏洞使黑客可以远程读取https服务器的随机64KB内存，这就很恐怖了。用户访问网站的cookies、SSL私钥、帐号密码，这些数据全都可能被黑客远程读取到，只要这个黑客有耐心多捕获多分析那些64KB的数据。这个漏洞的英文名为“heartbleed”，直译“心脏出血”。

危害到底严重不严重？

有人认为没这么可怕，因为这是一个旧版本OpenSSL的安全漏洞，开发者把服务器程序升级到OpenSSL1.0.1g可以解决。

也有业内专家表示非常担忧，安天实验室首席架构师江海客认为“这一次，狼真的来了”。在冲击波病毒出现之前，Windows RPC漏洞被披露，江海客就预言“这个漏洞极其严重，一定要密切 注意”。果不其然，没几天，冲击波漏洞就爆发了，搅得世界不安。

根据zoomeye系统扫描，中国全境有1601250台机器使用443端口，其中有33303个受本次OpenSSL漏洞影响！

网站怎么办？

网站管理员可以使用这个服务检查自己的网站是否存在威胁：http://filippo.io/Heartbleed/

尽快升级OpenSSL到1.0.1g

网民怎么办？

1.注意观察相关事件进展，目前尚无法准确评估黑客利用OpenSSL漏洞获得了多少数据。

2.对重要服务，尽可能开通手机验证或动态密码，比如支付宝、邮箱等，登录重要服务，不仅仅需要验证用户名密码，最好绑定手机，加手机验证码登录。这样就算黑客拿到帐户密码，登录还有另一道门槛。

3.如果随着事件进展，可能受累及的网络服务在增加或更明确，建议用户修改重要服务的登录密码。安全专家的建议是，一个密码的使用时间不宜过长，超过3个月就该换掉了。

（编辑：应用网_镇江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!