CTI論壇(ctiforum)4月11日消息(記者 李文杰):4月8日晚,國(guó)際著名安全協(xié)議OpenSSL爆出重大安全漏洞——"Heartbleed(心臟流血)"漏洞。通過(guò)該漏洞,黑客可輕易的獲取用戶(hù)、密碼等隱私信息、欺騙用戶(hù)訪問(wèn)釣魚(yú)網(wǎng)站造成用戶(hù)的大量隱私數(shù)據(jù)被盜。
作為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,是業(yè)內(nèi)最為通用的加密協(xié)議之一,目前在各大網(wǎng)銀、電子商務(wù)網(wǎng)站、在線支付、在線郵箱服務(wù)等眾多互聯(lián)網(wǎng)服務(wù)里廣泛應(yīng)用。該協(xié)議如此廣泛的應(yīng)用也使得此次爆出的漏洞對(duì)整個(gè)互聯(lián)網(wǎng)用戶(hù)的日常業(yè)務(wù)操作造成了較大影響。
在OpenSSL協(xié)議中包含的heartbeat選項(xiàng),讓SSL連接一端的計(jì)算機(jī)發(fā)出短信息來(lái)確認(rèn)計(jì)算機(jī)仍處于聯(lián)網(wǎng)狀態(tài)并獲得回復(fù)。此次爆出的漏洞使黑客可發(fā)送偽裝的惡意heartbeat信息誘使連接另一端的計(jì)算機(jī)泄露信息,讀取內(nèi)存中64K大小的內(nèi)容,通過(guò)對(duì)這些內(nèi)容的模式匹配和整理,黑客可找到密鑰、密碼以及眾多個(gè)人信息。其中,加密密鑰的失竊將直接導(dǎo)致黑客可以偽裝服務(wù)端,誘使用戶(hù)泄露所有的賬號(hào)密碼和其他敏感信息,考慮到基于HTTPS的訪問(wèn)往往在用戶(hù)眼中代表安全訪問(wèn),用戶(hù)很可能不加防備的將信用卡信息、個(gè)人隱私信息等重要信息發(fā)送給黑客,從而造成進(jìn)一步的重大損失。
在獲悉該漏洞信息后,H3C迅速啟動(dòng)緊急響應(yīng)機(jī)制,采取以下舉措:
1、針對(duì)旗下全系列產(chǎn)品進(jìn)行測(cè)試驗(yàn)證,以明確該漏洞對(duì)H3C自身產(chǎn)品(包括基于HTTPS管理登錄方式以及SSL VPN產(chǎn)品)所造成的影響:經(jīng)過(guò)嚴(yán)格測(cè)試驗(yàn)證,H3C旗下所有產(chǎn)品均不受該漏洞影響,廣大用戶(hù)無(wú)需針對(duì)現(xiàn)網(wǎng)H3C產(chǎn)品進(jìn)行改動(dòng)。
2、安全攻防團(tuán)隊(duì)立即針對(duì)該漏洞開(kāi)發(fā)應(yīng)用層防護(hù)特征,并于4月9日即在公司官網(wǎng)IPS(入侵防御產(chǎn)品)特征庫(kù)專(zhuān)區(qū)發(fā)布特征升級(jí)版本,為H3C IPS用戶(hù)第一時(shí)間提供防護(hù)能力,特征庫(kù)更新版本號(hào)為:SEC-IPS-R1.2.276_EN。