不知道这个有人关注吗？OpenSSL曝重大安全漏洞

网络世界大混乱 文 / 王云辉
“有可能导致网络大混乱么？”反复修改了自己的问题之后，我点击了“发送”。 片刻后，对话框里跳出一句回复“现在已经乱了。” 之后，是长久的寂静。 显然，网络对面那位顶级白帽（指以善意方式使用自身技术的黑客），已经顾不上搭理我——在这个不眠之夜，Ta还有太多的事情要做。 2014年4月8日，必将永载于互联网史册。 这一天，互联网世界发生了两件大事：一、微软正式宣布XP停止服务退役；第二件，OpenSSL的大漏洞曝光。 很多普通人更关心第一件事，因为与自己切身相关。 但事实上，第二件事，才是真正的大事件。 如果列举一些普通人能明白的数据：这个漏洞直接影响了至少30-50%使用https的网站——这个数字仅是业内人士相对保守的评估。 事实上，我们经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、网银、门户等各种网站，基本上都出了问题。而在国外，就连大名鼎鼎的NASA（美国航空航天局）也宣布用户数据库遭泄露。 这个漏洞被曝光的黑客命名为“heartbleed”，意思是“心脏出血”——代表着最致命的内伤。 这是一个极为贴近的表述。 如果用专业的表述，?OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，它通过一种开放源代码的SSL协议，实现网络通信的高强度加密。 这也就是说，?OpenSSL的存在，就是一个多用途的、跨平台的安全工具，由于它非常安全，所以被广泛地用于各种网络应用程序中。 但现在，?OpenSSL自己出现了漏洞，而且是非常高危胁的漏洞。利用这个漏洞，黑客可以轻松获得程序源代码、用户的cookie，甚至明文的帐号和密码。 这就像什么呢？你背靠着城墙与敌人战斗，突然，墙垮了。 于是，一场疯狂的竞速开始。 网站们开始紧急预警和修复升级，安全公司和白帽们忙着测试漏洞影响并进行扩展推衍，而更多的黑客们，则抓紧时间开始狂欢： 懂技术的人，深入地把玩这个漏洞，以它为武器，向自己久攻不下的网站发起攻击；不懂技术的小黑客们，也如同大战场边缘的游勇，利用漏洞四下劫掠。 这是一个不眠知夜——除了大批仍茫不知情的网民。 面对危机，网站们策略不一，有的紧急升级OpenSSL；有的暂停了服务；有的服务还在，但暂停了SSL加密；当然，还有的在睡大觉…… 希望他们早上起来以后，还能保持自己放松的心情。 事实上，就漏洞本身来说，现在黑客们争夺的就是时间，一旦主要的网站们完成漏洞修复，这一波地震就能算是过去，大家自然回归常态，该网购的网购，该玩的玩。 不过，值得注意的是，由于OpenSSL应用非常广泛，所以相对网站等表面上的应用，它在各种客户端、VPN、WAF等其他领域，也将带来更加隐蔽的风险，并将持续一段时间。 所以，对于用户们来说，当前需要做到以下两点： 1、至少在未来1-2天内，尽量少登录以https://开头的网站，并尽可能少地使用网银服务，避免自己的账号密码被黑客窃取。 2、在安全厂商有明确的通知前，随时保持警惕。 而对整个互联网产业来说，这个事件更大的一个意义，在于让所有人重新回过头来反思： 当我们认为安全的一切，都突然变得不安全，我们又将如何维持这个虚拟世界的稳定与存续？ 如果，这个事件能够改变环境，让因为不受重视，缺乏商业输血，长期处于孱弱状态的中国网络安全产业获得新的生机，或许，也能算是塞翁失马，终有所得。

0.98版本没事.1.0几个版本有影响但是补丁很快出了

人们只关心xp，其它安全不安全无所谓

太恐怖了

这个算法不是号称无法破解么？

昨天淘宝试了一下，拿到三个帐号密码，登录一下，两个错误，一个成功。。。

破解的不是算法，实际上算法确实无法破解，破解的是其他漏洞。
就好比你家的锁非常牛逼，任何人不用钥匙都无法打开，但人家把你揍一顿抢走钥匙，照样开门。

不是传输过程 是这个程序主题

喷了，怎么试的？局域网内劫持？

很可怕.

看描述是能得到服务器端内存内容啊

相当严重，以https协议传输的数据都有可能被泄漏，这就相当于银行金库的锁在网上公布了开锁教程一样。

应该只是可能而不是必然把

怪不得今晚IBM 今晚紧急加班，要给几十部机器打open ssl 的补丁呢。

确实非常严重 但是一般人完全不理解是怎么回事。
自然都去关心无关紧要的xp去了

对一般人来说倒是没啥影响

对一般人不是没影响，而是首先不理解影响多大，其次是理解了也没有可以做的

就是说基本上所有的网站服务器数据都会泄密了，妈的p民能做啥？删帐号？

这事还没闹大啊，没看到多少网站出漏子:D

泄漏就泄漏了，除了钱，其他东西被拿了也无所谓。
一直认为，只要你上网你就暴露你自己了，包括你在网络上的信息以及你连接网络的设备上的信息。
所以早作好裸体被人看光的准备了，当然，如果你不是美女，别人也懒的看你。

支付宝，购物网站泄露很严重吧，就像之前携程的事，不是小事了，有可能信用卡这些信息都会泄露。

所以我现在当心钱有没问题，什么时候漏洞会被修复，哪些网站需要修改密码。

银行的密码还要过物理加密机，应该没什么影响。
受影响的几个版本的openssl，在编译时加一个参数就不受影响。
但是下午我公司搞安全的同事表示1.0.1f没受影响，不知道他这消息哪来的。

看了一下邮件，记错了。是1.0.1g不受影响，1.0.0和0.9.8都不受影响。
1.0.2现在只有beta，生产环境用beta的应该很少。
网银的话，银行几乎不会去用apache或者nginx.
WebLogic，WebSphere之类的受不受影响要看开发商的节操。
Tomcat，JBoss之类的不受影响。

太复杂了，支付宝需要改密码吗

https完蛋了 ？

非常严重的问题

社会工程学

物理加密機按照現行法律一定是國產經過批准的。開源的軟件加密好歹設置得好有幾種是NSA也解不動的。

银行的表示没影响，还有硬件加密

本帖最后由 solidwwb 于 2014-4-10 09:02 通过手机版编辑

说起来很夸张，其实没啥大的影响
受影响的只是一部分版本，而且修复起来也很快

昨天下午老板把整个组的人叫过去了就说这事。
一检测apache果然会中招。
结果就是三个人挨个服务器补了一下午233，Redhat和centOS补漏洞的效率还是蛮不错的

买过东西的就改吧，，反正改一下总保个放心

支付宝不受影响
受影响的是淘宝，响应超快分分钟就修复了。
另外银行很多没用openssl。
对于银行和国内几个巨头影响很有限，但是其他要大不大的厂商就有点大了