四名分别工作的研究人员演示了可以使用“心脏出血”漏洞获取服务器的私有加密密钥,这种攻击被认为是可能的,但没有得到证实。
这些发现是在CloudFlare发起挑战后不久公布的。CloudFlare是一家总部位于旧金山的公司,为网站运营商提供安全和冗余服务。
 |
|
 |
“心脏出血”并不能真正改变什么,有两个原因 |
|
Heartbleed (CVE-2014-0160):问题概述和修复它所需的资源 |
|
下面是一些网络设备有缺陷的选项(提示:并不是很多) |
|
你需要知道的关于心脏出血和OpenSSL |
|
心脏出血的后果-下一个是什么? |
|
服务器制造商匆忙推出心脏出血补丁 |
|
|
|
CloudFlare询问安全社区,上周公开的OpenSSL加密库中的漏洞,是否可以用来获取用于在用户和网站之间创建加密通道的私钥,即SSL/TLS(安全套接字层/传输安全层)。
私钥是一种安全证书的一部分,它可以验证客户端计算机是否连接到一个声称是合法网站的假网站。浏览器会显示一个带有挂锁的安全连接,如果证书无效则会显示一个警告。
安全专家认为有可能通过利用密码来泄露私钥Heartbleed缺陷这可能已经影响了三分之二的互联网,并引发了申请a补丁修复它。
“这一结果提醒我们,不要低估群众的力量,并强调了这种脆弱性带来的危险,”写了CloudFlare的尼克·沙利文在该公司的博客上说道。
通过获得SSL/TLS证书的私钥,攻击者可以建立一个通过安全验证的虚假网站。他们还可以解密在客户端和服务器之间传递的通信,这被称为中间人攻击,或者可能破解他们过去收集的加密通信。
CloudFlare使用OpenSSL 1.0.1版本设置了运行nginx-1.5.13 web服务器软件的服务器。f在Ubuntu 13.10 x86_64.A上
费铎Indutny沙利文写道,他是第一个获得这把钥匙的人。“心脏出血”漏洞会从计算机内存中泄漏64K批次的数据。数据可以包括最近登录到服务器的用户的登录凭据。
攻击者可以不断地攻击服务器,每次都能获得内存中的64K数据。心脏出血攻击特别危险,因为它只留下很少的痕迹,允许攻击者继续尝试,直到他们获得所需的信息。
研究人员仍在试图弄清楚在什么条件下会有哪些具体数据被披露。OpenSSL是一个开源程序,广泛用于各种操作系统、移动应用程序、路由器和其他网络设备。
Sullivan写道,Indutny在一天的时间里向测试服务器发送了250万个请求。第二个拿到钥匙的人是The的Ilkka Mattila国家网络安全中心芬兰他写道,A以较少的请求获得了它,大约10万次。
在对博客的更新中,沙利文写道,另外两人也完成了挑战:鲁宾徐他是安达州剑桥大学的博士生本·墨菲他是一名安全研究员。
沙利文写道:“我们确认,所有人都只使用了‘心脏出血’漏洞来获取私钥。”
研究人员是如何获得私钥的还没有透露。“研究人员可以自行决定是否分享使用的具体技术,”沙利文写道。
发送新闻提示和评论到jeremy_kirk@idg.com。在Twitter上关注我:@jeremy_kirk