网站和服务器管理员将不得不花费大量的时间、精力和金钱来减轻所有与安全相关的风险Heartbleed最严重的漏洞之一,近年来危及加密的SSL通信。
 |
|
 |
两个原因心脏出血漏洞并没有真正改变什么 |
|
Heartbleed (CVE-2014-0160):问题概述和修复它所需的资源 |
|
下面是一些网络设备有缺陷的选项(提示:并不是很多) |
|
你需要知道的关于心脏出血和OpenSSL |
|
心脏出血漏洞后果 - 下一步是什么? |
|
服务器制造商冲出心脏出血漏洞补丁 |
|
|
|
这个安全漏洞,这是周一公开披露不加密的结果疲弱的广泛使用TLS(传输层安全)或SSL(安全套接字层)通信协议,但源于一个相当平凡的编程误差在一个受欢迎的SSL / TLS图书馆叫OpenSSL使用的各种操作系统、网络服务器软件,浏览器、移动应用程序,甚至硬件设备和嵌入式系统。
攻击者可以利用这个漏洞迫使使用OpenSSL版本1.0.1到1.0.1f的服务器从其私有内存空间公开信息。这些信息可以包括密码、TLS会话密钥和长期服务器私有密钥等机密数据,这些数据允许对从服务器捕获的过去和将来的SSL通信进行解密。
乍一看,处理这个问题似乎很容易:将OpenSSL更新到现在大多数操作系统都可以使用的补丁版本,然后就完成了。然而,考虑到这个漏洞可能已经被攻击者利用的时候,一个特定的服务器补丁和它的秘密TLS密钥可能已经被泄露,事情突然变得更加复杂。
网站所有者应该做的第一件事是确定谁负责维护其网站所在服务器上的OpenSSL软件。
“如果它是一个专用的服务器,它是你的责任”,从网络安全公司的研究人员Sucuri在说博客。“如果你使用的是共享主机平台,请联系主机提供商,提醒他们更新服务器。”
一旦安装OpenSSL修补在服务器和攻击是不可能了,是时候来获得一个新的SSL证书和撤销旧确保任何攻击者可能获得私钥信息虽然缺陷不会允许他们解密交通在未来。
位于巴尔的摩的约翰霍普金斯大学信息安全研究所的加密专家、助理研究教授马修·格林通过电子邮件表示:“建议服务器运营商撤销并重新颁发证书,因为密钥可能已经被盗。”“问题是这需要时间和金钱。如果许多服务器操作员跳过这一步,我不会感到惊讶。”
网站所有者应该与颁发其现有SSL证书的证书颁发机构(CAs)进行核实,了解重新加密和重新颁发这些证书所涉及的任何潜在成本。
“Trustwave SSL服务平台一直包括免费的证书再发,在证书的生命周期;大型证书颁发机构Trustwave负责管理身份和SSL的副总裁布莱恩·特祖佩克(Brian Trzupek)通过电子邮件表示。“在这个针对OpenSSL的心脏出血漏洞的特殊情况下,我们已经有大量客户在我们的SSL门户中使用了免费的自助服务重新签发功能,以帮助修复他们的SSL证书的心脏出血问题。”
赛门铁克,经营规模最大的CA之一,因为收购VeriSign的SSL业务在2010年,他说,它已采取必要步骤,以修补其系统所使用的OpenSSL受影响的版本。“我们遵循的最佳实践,并有再加密所用的OpenSSL的受影响版本的Web服务器上的所有证书,”该公司在电子邮件中说。“虽然从来没有与赛门铁克证书的问题,为解决OpenSSL错误,我们将提供替代免费为我们现有的客户和旧证书将被吊销。”
对于网站和服务器管理员来说,处理这个OpenSSL漏洞也是一个很好的机会,可以检查他们的SSL/TLS配置,确保它们达到现代标准。
反病毒公司F-Secure的研究人员在一份声明中说:“既然你必须修改你的服务器配置并创建新的SSL证书,我们建议你也要完成证书生成设置和服务器配置。博客。“‘心脏出血’并不是SSL/TLS实现中的唯一问题,一个选择不当的协议或弱密码可能和‘心脏出血’漏洞一样危险。”
开放Web应用安全项目的(OWASP)传输层保护备忘单和SSL/TLS部署最佳实践通过Qualys, SSL实验室可以作为很好的起点。
现在也可以考虑将TLS配置为完全正向保密(PFS), PFS是DiffieHellman密钥协议DHE和ECDHE的一个特性,这些协议已经在一些大型网站上使用,包括谷歌。即使服务器的私钥被破坏,PFS也不可能解密之前捕获的TLS流量,并且Heartbleed不会影响为PFS配置TLS的服务器。
“一个你可以有针对TLS漏洞最强的保护措施是完全正向保密,”大卫·格兰特,在倡导组织电子前沿基金会的系统管理员,说在博客。“这不是简单的配置,并且还没有全球浏览器的支持。但是,它是加密技术,提供了对与窃取你的私人钥匙并用它来解密流量的潜在攻击的最好的防守。”
伊万·里斯蒂奇,谁运行在Qualys公司的SSL实验室,对如何配置Apache,Nginx的和OpenSSL与正向保密提供的说明博客8月。
电子前沿基金会(Electronic Frontier Foundation)技术人员朱燕(Yan Zhu)最近在一份报告中表示:“此时,转发保密比以往任何时候都更加重要。博客其中,他提出了一个更广泛的PFS通过在网络上的情况。“现在,心脏出血漏洞的详细信息是公开的,任何人都可以使用它对抗尚未修补的OpenSSL错误和更改SSL证书的服务器,它可以很容易地需要几周或几个月为开发者部署新的SSL证书,即使如此,证书撤销系统是不可靠的和较差适合于现代网络。在此期间,你现在发送到不支持前向安全性将开放窃听和恶意的,只要他们的SSL私钥暴露篡改受影响的服务器的任何数据。“
因为心脏出血漏洞漏洞也可以被用来窃取服务器的内存中的密码,网站管理员应该评估和考虑什么密码的类别应该改变作为预防措施。在某些情况下,它可能是明智的,强制或至少提醒所有用户更改他们的密码。
除了重置密码,它也可能是一个好主意,所有无效跨站点请求伪造(CSRF)和OAuth令牌,以及会话cookie。如果从服务器内存或解密的流量被盗,这样的令牌可以用来获得未经授权访问用户帐户受影响的网站上。
最后,也是非常重要的管理员看他们的整个Web基础设施,而不仅仅是单个Web服务器评估这个漏洞的影响时。
例如,即使在Windows上运行Web服务器IIS作为(互联网信息服务),并不会受到这一缺陷,因为IIS不使用OpenSSL,有可能是Nginx上服务器使用OpenSSL运行的负载平衡器加密的流量或如在IIS服务器前端反向代理,说特洛伊亨特,软件架构师和微软的MVP,在博客。