解讀《關於OPENSSL加密元件存在重大安全隱患的預警通報》
2019年11月30日,首都網警釋出《關於OPENSSL 加密元件存在重大安全隱患的預警通報》,內容如下:
據國家網路與資訊保安資訊通報中心監測發現,網際網路SSL協議實現元件OPENSSL部分版本存在重大安全隱患,可能導致資訊洩露等風險。SSL(Secure Socket Layer)協議是一種為網路通訊提供安全以及資料完整性的安全協議,該協議在傳輸層對網路進行加密。OPENSSL是實現SSL協議的一款開源軟體,其提供了多種密碼演算法、常用金鑰以及數字證書封裝管理等功能。
一、基本情況
此次事件發現:一是眾多RSA數字證書金鑰存在被破解的可能性,二是部分低版本的OPENSSL元件存在記憶體洩露漏洞。
二、影響範圍
以上問題涉及電信、金融、能源、醫療等多個重要行業部門,以及部分高校、企業郵件系統和多款網路裝置。在通訊資料被截獲的情況下,攻擊者可利用上述漏洞獲取使用者賬號口令、業務系統資料、郵件內容等敏感資訊。
針對首都網警的網路安全預警通報,安信證書進行了深入的分析和解讀:
1.RSA是SSL數字證書使用的一種公鑰密碼加密演算法,其金鑰長度決定了被加密的資訊的安全性。金鑰長度越長,安全性就越高,被破解的可能性就越低。然而隨著計算機技術的發展,以前被認為是安全的密碼會被破解,這種情況稱為密碼劣化。根據美國國家標準與技術研究院NIST的預測,1024位元的RSA已經不再安全,2048位元的RSA在2030年之前是安全的,4096位元的RSA在2031年之後是安全的。
目前國內很多重要行業部門以及高校等依然使用1024位元RSA的SSL證書,具有十分嚴重的安全隱患。在這裡,安信證書建議所有使用RSA1024證書的企業,儘快將證書更換為RSA2048證書。
2.OPENSSL是一種被廣泛應用的開源軟體,用於管理證書,比如證書的申請、安裝以及金鑰管理等。2014年OPENSSL被發現存在災難性的“心臟出血”漏洞,攻擊者可以從記憶體中讀取私鑰、使用者名稱與密碼、電子郵件等通訊等資料。漏洞影響1.0.1-1.0.1f版本,隨後OPENSSL在其1.0.1g版本修復這一漏洞。雖然漏洞最終得到修復,但是這次事件造成了嚴重的影響,眾多部署https的網站的加密資料可能遭到竊取。
目前最新的OPENSSL穩定版本是1.1.1,此前的主流版本1.0.2將會在2019年12月31日之後不再提供安全維護和更新,1.0.1或更早的版本均不安全。所以,安信證書建議所有部署SSL證書的企業,立即檢查伺服器上OPENSSSL的版本,儘快升級到安全的1.1.1。
安信證書專注於網際網路資訊保安領域,為企業、組織或政府機構提供安全可靠的SSL證書,免費為您提供證書安裝與部署、加密協議與密碼套件升級、安全策略最佳化等服務,確保您的網站與移動應用的安全。
宣告:本文由“安信證書”原創釋出,內容未經允許不得轉載!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69900059/viewspace-2671456/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 關於區塊鏈技術安全隱患的解決方案區塊鏈
- 聯想、戴爾、惠普等筆記本預裝膨脹件存在安全隱患筆記
- 中國公共WiFi熱點安全現狀報告發布 21%存在隱患WiFi
- 關於PHP的OpenSSL的加密問題PHP加密
- Linux需要防毒軟體嗎?存在安全隱患嗎?Linux防毒
- DNS安全問題有哪些?DNS系統存在哪些安全隱患?DNS
- 機房存在哪些安全隱患?需要排查哪些地方?
- 運維安全隱患運維
- 每日安全資訊:近百萬臺 Windows 存在高危漏洞 BlueKeep 隱患Windows
- LMCompatibilityLevel 安全隱患
- 資訊週刊:隨意設定電腦密碼存在安全隱患密碼
- DATABASE VAULT授權的安全隱患Database
- 讓員工成為安全解決方案,而非安全隱患
- Laravel Bindings 的一處安全隱患Laravel
- 如何消除MySQL賬號的安全隱患MySql
- 免費WIFI的安全隱患——資訊圖WiFi
- Windows 2000 的安全隱患 (轉)Windows
- 解構IoT安全隱患,探尋安全防護部署新思路
- RSA2010:雲安全需急迫解決的安全隱患
- iOS開發如何避免安全隱患iOS
- 全面降低windows系統的安全隱患(五)Windows
- Snyk:開原始碼存在安全隱患 一個專案平均有49個漏洞原始碼
- 免費代理IP有哪些安全隱患
- 設計院如何解決安全隱患?
- 去除windows身份認證帶來的安全隱患Windows
- 關於session.auto_start報警的問題Session
- 電動汽車充電樁安全隱患與解決辦法
- 杜絕安全隱患 容易忽視的Oracle安全問題(轉)Oracle
- 資料視覺化助你提早發現裝置存在的隱患視覺化
- 無線安全隱患分析:使用者位置隱私曝光
- HTML框架的隱患HTML框架
- 自籤SSL證書有哪些安全隱患
- 公交wifi隱患多,安全問題堪憂WiFi
- vue 自定義報警元件Vue元件
- 關於session.auto_start報警的問題薦Session
- 重磅解讀|趙義博:量子密碼的絕對安全只存在於理論密碼
- 海外 | 威脅物聯網的7大安全隱患
- 郵件安全隱患及其防範技術研究