2014年4月16日 星期三

OpenSSL的Heartbleed危機

開放原始碼社群的Heartbleed危機

開放原始碼引以為傲的就是一個原始碼共享的機制,這個機制下因為公開原始碼,因此在比較理想的狀況下可以讓各個以開放原始碼開發的軟體受到公眾的檢視,避免臭蟲或漏洞。

但是,這個機制卻也難以避免第一時間因為漏洞產生的資安問題,也可能因為所有程式碼公開,讓有心人士可以趁著公眾尚未覺察時進行駭客行為。

OpenSSL是個常見於各商業或個人伺服器上的加密機制,它是一種開放原始碼社群所維護的一種實現安全資料傳輸層(Secure Sockets Layer, SSL/TLS)的程式,開放授權給每一個人免費使用,不論商業或非商業用途。

這個Heartbleed (HeartBeat overflow)臭蟲影響了世界上2/3採用OpenSSL加密機制的網路伺服器,也包括了採用Android作業系統的手機,特別是Android 4.1.1與有些Android 4.2.2版本。但是根據Symantec的公佈資訊,OpenSSL並非倚賴網頁常用的HTTPS加密技術,因此即便載有惡意程式的伺服器也拿不到透過網頁存取資料的電腦資料。

OpenSSL社群提出了安全建議,就是升級
OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley and Bodo Moeller for preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

這裡有些後續措施建議:
http://www.symantec.com/connect/blogs/heartbleed-reports-field

Google Play提供Heartbleed Detector:
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector

Ron

沒有留言: