解讀《關於OPENSSL加密元件存在重大安全隱患的預警通報》
2019年11月30日,首都網警釋出《關於OPENSSL 加密元件存在重大安全隱患的預警通報》,內容如下:
據國家網路與資訊保安資訊通報中心監測發現,網際網路SSL協議實現元件OPENSSL部分版本存在重大安全隱患,可能導致資訊洩露等風險。SSL(Secure Socket Layer)協議是一種為網路通訊提供安全以及資料完整性的安全協議,該協議在傳輸層對網路進行加密。OPENSSL是實現SSL協議的一款開源軟體,其提供了多種密碼演算法、常用金鑰以及數字證書封裝管理等功能。
一、基本情況
此次事件發現:一是眾多RSA數字證書金鑰存在被破解的可能性,二是部分低版本的OPENSSL元件存在記憶體洩露漏洞。
二、影響範圍
以上問題涉及電信、金融、能源、醫療等多個重要行業部門,以及部分高校、企業郵件系統和多款網路裝置。在通訊資料被截獲的情況下,攻擊者可利用上述漏洞獲取使用者賬號口令、業務系統資料、郵件內容等敏感資訊。
針對首都網警的網路安全預警通報,安信證書進行了深入的分析和解讀:
1.RSA是SSL數字證書使用的一種公鑰密碼加密演算法,其金鑰長度決定了被加密的資訊的安全性。金鑰長度越長,安全性就越高,被破解的可能性就越低。然而隨著計算機技術的發展,以前被認為是安全的密碼會被破解,這種情況稱為密碼劣化。根據美國國家標準與技術研究院NIST的預測,1024位元的RSA已經不再安全,2048位元的RSA在2030年之前是安全的,4096位元的RSA在2031年之後是安全的。
目前國內很多重要行業部門以及高校等依然使用1024位元RSA的SSL證書,具有十分嚴重的安全隱患。在這裡,安信證書建議所有使用RSA1024證書的企業,儘快將證書更換為RSA2048證書。
2.OPENSSL是一種被廣泛應用的開源軟體,用於管理證書,比如證書的申請、安裝以及金鑰管理等。2014年OPENSSL被發現存在災難性的“心臟出血”漏洞,攻擊者可以從記憶體中讀取私鑰、使用者名稱與密碼、電子郵件等通訊等資料。漏洞影響1.0.1-1.0.1f版本,隨後OPENSSL在其1.0.1g版本修復這一漏洞。雖然漏洞最終得到修復,但是這次事件造成了嚴重的影響,眾多部署https的網站的加密資料可能遭到竊取。
目前最新的OPENSSL穩定版本是1.1.1,此前的主流版本1.0.2將會在2019年12月31日之後不再提供安全維護和更新,1.0.1或更早的版本均不安全。所以,安信證書建議所有部署SSL證書的企業,立即檢查伺服器上OPENSSSL的版本,儘快升級到安全的1.1.1。
安信證書專注於網際網路資訊保安領域,為企業、組織或政府機構提供安全可靠的SSL證書,免費為您提供證書安裝與部署、加密協議與密碼套件升級、安全策略最佳化等服務,確保您的網站與移動應用的安全。
宣告:本文由“安信證書”原創釋出,內容未經允許不得轉載!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69900059/viewspace-2671456/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 關於區塊鏈技術安全隱患的解決方案區塊鏈
- Linux需要防毒軟體嗎?存在安全隱患嗎?Linux防毒
- 關於PHP的OpenSSL的加密問題PHP加密
- 聯想、戴爾、惠普等筆記本預裝膨脹件存在安全隱患筆記
- LMCompatibilityLevel 安全隱患
- DNS安全問題有哪些?DNS系統存在哪些安全隱患?DNS
- 滴滴的安全新隱患
- RSA2010:雲安全需急迫解決的安全隱患
- 每日安全資訊:近百萬臺 Windows 存在高危漏洞 BlueKeep 隱患Windows
- Laravel Bindings 的一處安全隱患Laravel
- 蘭博基尼宣佈召回Aventador SV 因存在輪轂脫落安全隱患
- 資訊週刊:隨意設定電腦密碼存在安全隱患密碼
- 解構IoT安全隱患,探尋安全防護部署新思路
- Snyk:開原始碼存在安全隱患 一個專案平均有49個漏洞原始碼
- 發現安全隱患的“火眼金睛”
- iOS開發如何避免安全隱患iOS
- 您與該網站的連線不是私密連線,存在安全隱患,解決瀏覽器提示連線不安全的問題網站瀏覽器
- 免費代理IP有哪些安全隱患
- 資料視覺化助你提早發現裝置存在的隱患視覺化
- 2700 萬能源智慧電錶存在安全漏洞,英國情報機構 GCHQ 釋出物聯網安全預警GC
- 自籤SSL證書有哪些安全隱患
- 電動汽車充電樁安全隱患與解決辦法
- 重磅解讀|趙義博:量子密碼的絕對安全只存在於理論密碼
- vue 自定義報警元件Vue元件
- 記憶體安全週報 | 1123學以致用,思患預防記憶體
- 靜態加密:存在代理混淆的安全漏洞加密
- 海外 | 威脅物聯網的7大安全隱患
- ChatGPT背後的安全隱患,誰來管比較放心?ChatGPT
- openssl加密檔案加密
- 關於網路安全的2021的預測
- 安全隱患需構建資訊保安體系
- 關於OpenSSL“心臟出血”漏洞的分析
- 基於統計的預警:同環比預警實現深度剖析
- 基於OpenSSL的HTTPS通訊C++實現HTTPC++
- 數字化醫療建設中的網路安全隱患
- Linux基於tar與openssl加密解密壓縮包Linux加密解密
- B站:破圈財報背後的屢屢隱患
- 通過Python掃描程式碼關鍵字並進行預警Python