OpenSSL 被發現重大漏洞 Heartbleed

XXXXXX 被發現重大漏洞這些新聞，大家都聽得太多了吧？但這次的漏洞卻非比尋常，原因是這次 OpenSSL 被稱為「心臟流血」的漏洞 Heartbleed，有能導致全球超過一半的網站，有大量用戶名稱和密碼被洩露的危險。幸好已經有妥善對策了，只要更新就可以了。

這一漏洞的正式名稱為 CVE-2014-0160。漏洞影響了 OpenSSL 的 1.0.1 和 1.0.2 測試版。OpenSSL 已經發佈了 1.0.1g 版本，以修復這一問題，但要全球網站對這一軟體都進行升級，還需要一段時間。想知道自己的網站是否存在漏洞，可到訪這個由加密學專家 Filippo Valsorda 架設的網站，它可幫助用戶檢查網站上是否存在 Heartbleed 漏洞。截稿前 Yahoo! 被發現有此漏洞，但現在已經修正。如果網站配置了一項名為 Perfect forward Secrecy 的功能，那麼這一漏洞的影響將被大幅減小。該功能會改變安全密鑰，因此即使某一特定密鑰被獲得，攻擊者無法解密以往和未來的加密數據。兩大網頁伺服器 Apache 和 nginx 都使用了 OpenSSL， Apache 和 nginx 佔了全球網站伺服器的66%，影響的規模可想而知。加上有使用 OpenSSL 的不只網站伺服器，所有預載了 OpenSSL 1.0.1 和 1.0.2 測試版、而又未進行更新的 Linux 版本包括 Debian Wheezy、Ubuntu 12.04.4 LTS、CentOS 6.5、Fedora 18、OpenBSD 5.3/5.4、FreeBSD 8.4/9.1、NetBSD 5.0.2 和 OpenSUSE 12.2 都要注意。解決方法也非常簡單，只要執行一次系統更新就可以了。

OpenSSL是一款開源軟體，被廣泛用於在線通訊的加密上。SSL 最早在 1994 年由 Netscape 推出，1990 年代以來已經被所有主流瀏覽器採納。近年很多大型網路服務都已經利用這項技術加密數據。如今，Google、Yahoo！和 Facebook 都在使用 SSL 對其網站和服務進行加密。當用戶到 Gmail.com 等安全網站時，就會在 URL 地址旁看到一個「鎖」，表明你在該網站上的通訊都被加密。這個「鎖」表明，第三方無法讀取你與該網站之間的任何通訊。在後台，通過 SSL 加密的數據只有接收者才能解密。如果不法分子監聽了用戶的對話，也只能看到一串隨機字符串，而無法瞭解電子郵件、Facebook 帖子、信用卡賬號或其他訊息的具體內容。HeartBeeld 漏洞能夠洩露伺服器記憶體中的內容，包含了一些最敏感的數據，例如用戶名稱、密碼和信用卡號等。此外，攻擊者可以取得伺服器數位密鑰的副本，從而模仿這些伺服器，或是對用戶通過伺服器的通訊進行解密。

Heartbleed 的漏洞在2014年4月7日由 Codenomicon 和 Google 安全部門的研究人員獨立發現。為了將影響降到最低，研究人員已經與 OpenSSL 團隊和其他關鍵的內部人士展開了合作，在公佈該問題前，就已經準備好修正版本的 OpenSSL 1.0.1g 了。筆者想說的是，任何軟體都可能有漏洞，關鍵只在於開發團隊有沒有安全意識、發布更新的速度快不快。像這次漏洞被公開的同一天修正檔就已經出來了，這就是開源技術的強大之處。反觀微軟對旗下產品的安全意識就不大足夠了，以開源瀏覽器 Firefox 為例，2009 年 Secunia 的調查發現，Firefox 的零時差漏洞最快在 15 天內已經修補，最長修補時間為 86 天。Internet Explorer 最少要 110 天才修補完高度風險的零時差漏洞， 最長則花了294天。