OpenSSL “Heartbleed” 漏洞意味著什麼？要如何應對？
 
SSL可能是大家接觸比較多的安全協議之一，看到某個網站用了https://開頭，就是採用了SSL安全協議。而OpenSSL，則是為網路通信提供安全及資料完整性的一種安全協定，囊括了主要的密碼演算法、常用的密鑰和證書封裝管理功能以及SSL協議，並提供了豐富的應用程式供測試或其他目的使用。OpenSSL是一種開放源碼的SSL實現，用來實現網路通信的高強度加密，現在被廣泛地用於各種網路應用程式中。
 
換句話講，OpenSSL其實就是互聯網上銷量最大的鎖。而昨天，這把鎖出現了問題。OpenSSL曝出重大安全漏洞——“Heartbleed Bug”。Google和網路安全公司Codenomicon的研究人員發現，OpenSSL Heartbleed模組存在一個BUG：
 
簡單的說，黑客可以對使用https(存在此漏洞)的網站發起攻擊，每次讀取伺服器記憶體中64K資料，不斷的反復獲取，記憶體中可能會含有用戶http原始請求、用戶cookie甚至明文帳號密碼等。大家經常訪問的支付寶、微信、淘寶等網站也存在這個漏洞。而更有網友測試了世界最流行的1000家網站，結果30%～40%的都有問題。
 
除此之外，這個漏洞受到這麼多人重視還有別的原因：
 ■ 這個漏洞已長時間存在，只是在昨天才被曝出。所以很難估計到底有多少網站，多少用戶的資料被竊取。
 ■ 這個漏洞很容易被黑客利用。
 ■ 不留痕跡。這可能是最關鍵的問題，網站無法知道是誰竊取了用戶資訊，很難追究法律責任。
 
這一漏洞的官方名稱為CVE-2014-0160。該漏洞影響了OpenSSL 1.0.1版至1.0.1f版。而1.0.1之前更老的版本並沒有受到影響。OpenSSL已經發佈了1.0.1g版本，以修復這一問題，但網站對這一軟體的升級還需要一段時間。不過，如果網站配置了一項名為“perfect forward secrecy”的功能，那麼這一漏洞的影響將被大幅減小。該功能會改變安全密鑰，因此即使某一特定密鑰被獲得，攻擊者也無法解密以往和未來的加密資料。
 
如何應對該漏洞？
 
 ■ 個人用戶防禦建議：
 
各個網站修復這個漏洞都可能需要1-3天的時間，有些反應較為迅速的網站如淘寶，微信等可能修復的更快。只要等有漏洞的網站修復完成就能登陸了。當然，若還是不放心，你還可以點擊這裏或者點擊這裏查看自己要登陸的網站是否安全。對已經不小心登陸過這些網站的用戶，可以修改一下密碼。
 
除此之外，密切關注未來數日內的財務報告。因為攻擊者可以獲取伺服器記憶體中的信用卡資訊，所以要關注銀行報告中的陌生扣款。
 
 ■ 企業防禦建議： 升級到最新版本OpenSSL 1.0.1g。無法立即升級的用戶可以以-DOPENSSL_NO_HEARTBEATS開關重新編譯OpenSSL。而1.0.2-beta版本的漏洞將在beta2版本修復。當然，升級後別忘記提醒用戶更改密碼、提醒雲服務使用者更新SSL密鑰重複證書。


網站幾近全裸 心臟出血這一夜國內巨頭無法安心入眠
http://www.cnetnews.com.cn/2014/0411/3017084.shtml
 
OpenSSL 爆出了本年度最嚴重的安全漏洞，其實這個漏洞已存在了很長時間，只是昨日才被爆出，預計“心臟出血”漏洞將影響至少兩億中國線民，損失無法估計。
 
無論你電腦多麼安全，只要網站使用了存在漏洞的OpenSSL版本，用戶登錄該網站時就可能被黑客即時監控到登錄帳號和密碼。這一漏洞成為黑客竊取用戶資訊的一種手段，並由於不會留下痕跡，很難追究其法律責任。由於OpenSSL協定廣泛應用於網銀、線上支付、電子郵件、電商等重要網站，利用此漏洞的黑客只需坐在電腦前，即可即時獲取約30%以https開頭網址的用戶登錄帳號密碼，這一夜，黑客高興的睡不著覺，同樣睡不著的人也有很多。
 
諸多被大眾所熟知的電商、支付類介面、社交、門戶網站瞬間處於“赤裸”狀態，這一夜很多互聯網巨頭也無法安心入眠。面對這一問題，OpenSSL在漏洞公佈當天就發佈了修復版本，各大網站需要儘快安裝最新版OpenSSL。
 
Facebook、雅虎和谷歌發言人昨天均對外表示，已經給關鍵服務打上了補丁。而國內廠商，也相應的做出了反應和舉措。
 
值得慶倖的是，國內大型廠商對此次漏洞的漏洞的反應非常之快，很多企業都在最快的時間內對很多存在OpenSSL問題的網站進行了修復。
 
騰訊表示在第一時間對漏洞進行了處理，並經過反復進行了掃描，確保漏洞已經被修復，旗下所涉及到的相關產品，如郵箱、QQ、微信、財富通等均可安心使用。
 
阿裏巴巴等多個大型互聯網服務商也通過官微宣佈，已經修復了該OpenSSL漏洞。淘寶、天貓、京東也在第一時間進行了處理和修補。
 
盛大方面也表示，盛大通行證的認證主要是通過硬體加密等方式來使用https協定，目前已經和供應商確認過，一方面所使用的OpenSSL版本不是會受影響，另一方面針對有可能出現的安全隱患，已在第一時間通過升級進行了處理。
 
針對OpenSSL的問題， 360安全衛士也緊急召開發佈會，通報相關發現結果。並推出OpenSSL漏洞線上檢查工具(http://wangzhan.360.cn/heartbleed)，輸入網址就能夠檢測網站是否存在該漏洞。
 
據360的透露，目前他們掃描到的資料顯示，國內已經有3萬台伺服器（3萬左右網站）已經受此漏洞影響，波及2億用戶。但並沒有公佈受影響網站資訊，但會針對用戶進行相關的提醒。
 
另外由於銀行對用戶密碼還有一重加密保護，所以網銀不受此次漏洞影響，U盾也可繼續放心使用。
 
國內電商網站回應“心臟出血”漏洞，已經有七成網站進行了相關的修復，但仍有三成中小型網站並未作出及時的處理。
 
收到此次漏洞不僅影了大量網站伺服器，思科和Juniper的網路設備中也受到了相應的影響，思科已經列出了10餘款被確認存在漏洞的產品，而另60餘款產品可能受到影響，但調查仍在進行中。
 
同樣，一直在安全上抱有爭議的安卓作業系統必然不會倖免，谷歌稱安卓系統的4.1.1版採用了有漏洞版本的OpenSSL協議庫，用戶同樣面臨隱私遭竊取的風險。
 
互聯網的安全核心已經開始在滴血，用戶千萬不可低估這次漏洞。建議廣大用戶在各大互聯網服務商完成版本升級之前，盡可能不去登陸或進行交易活動。對於已經完成升級的網站，用戶應當儘快登錄並及時更改自己的密碼等重要資訊，並建議設置不同的帳號密碼，防止大範圍資訊洩露。