本周一,谷歌安全部门和软件安全公司Codenomicon的研究人员发现,一些使用加密软件OpenSSL证书的网站因为该SSL证书带有名为“心脏滴血(Heartbleed)”的漏洞而使得人们的个人信息(如信用卡号和密码)有被暴露的隐患。这些网站其中不乏一些我们都会使用网站和服务,如Gmail邮箱和Facebook。
OpenSSL是目前最流行的开源加密库和TLS协议,Heartbleed是代码中缺少边界检查导致的。该漏洞被称为有史以来互联网安全最大的威胁之一,影响了全球约三分之二的Web服务器,这些服务器一般是运行Apache和Nginx的。黑客可以通过这一漏洞攻破TLS安全层并获得密码,伪造身份认证信息。虽然现在一些针对这一漏洞的补丁已经发布,部分网站也升级了自己的服务器,但要完全解决这一问题还是很难的。
这里提供一个检测网站是否受HeartBleed影响的工具,是lastpass公司发布的Heartbleed Checker(http://lastpass.com/heartbleed/),输入URL即可。
下面是给使用OpenSSL证书或受到影响的站长提供的几种应对方法:
- 升级OpenSSL;
- 取消所有的SSL证书;
- 重置所有SSL证书的私钥;
- 从SSL提供商处索取新的证书;
- 等待安全网站或服务的安全更新的官方声明;
- 确定网站和服务已经安装更新后,更改密码并保持定时更新密码的习惯;
- 至少在接下来的一段时间内,密切关注自己可能会泄露的在线账户的可疑动向。
